开源软件库生态治理技术研究综述:二十年进展

在“人-机-物”三元融合、泛在计算的时代蓝海下,“开放多变”“需求多样”和“场景复杂”的软件部署和运行环境对开源软件库生态的治理技术提出了更多需求和更高期望.为进一步推动构建可信软件供应链生态,围绕泛在计算模式、打造自主可控的技术体系,聚焦于开源软件库管理生态,收集近20多年来(2001–2023)发表于软件工程领域较高影响力的学术期刊和会议的348篇论文,对开源软件库生态治理技术的研究工作进行梳理.讨论开源软件库生态的建模与分析、演化与维护、质量保证和管理等方面的工作,总结研究现状、问题、挑战与趋势.

基于开源Quantum ESPRESSO软件的固体物理教学模式创新与实践

为了解决固体物理课程学习中的难点,授课时引入开源Quantum ESPRESSO软件为学生提供全面的理论学习和实践训练。实践训练分为理论学习和实际操作两个阶段,使学生在理解固体物理的难点的同时获得实际操作经验。通过自主学习、实验报告的撰写和实操演示等分层次的学习方式,学生逐渐提升对固体物理的整体理解水平。学生对这一学习方式的反应良好。Quantum ESPRESSO软件为学生提供了先进的学习工具,有效提高了固体物理课程的学习效果。

开源软件供应链安全问题引发关注

4月教育网运行整体平稳,没有发现重大的安全事件。在病毒与木马方面,数据显示,2024年一季度以来,勒索病毒的攻击数量又呈现增长趋势。目前勒索病毒的产业模式已经升级到RaaS(软件即服务)模式,攻击目标也指向那些价值更高的服务器。由于RaaS模式会大大降低勒索攻击的门槛,后期这类攻击也将呈现继续增长的趋势.

基于特色项目制与开源人才培养的软件工程专业学位研究生创新能力培养实践

引言.专业学位研究生创新能力培养关系到学生未来的科研发展和个人成就,建立多元创新能力评价,树立正确的价值导向,成为了专业学位研究生教育改革的重要内容。以浙江大学软件工程领域为例,探索引导学生更多采用除学术论文以外的专利、重大工程、开源贡献等作为创新能力评价成果,以特色项目制人才培养提升学生解决面向国家和行业重大工程问题能力,以开源培养提升学生软件工程开放创新能力。

开源软件漏洞感知技术综述

随着现代软件规模不断扩大,软件漏洞给计算机系统和软件的安全运行、可靠性造成了极大的威胁,进而给人们的生产生活造成巨大的损失.近年来,随着开源软件的广泛使用,其安全问题受到广泛关注.漏洞感知技术可以有效地帮助开源软件用户在漏洞纰漏之前提前感知到漏洞的存在,从而进行有效防御.与传统软件的漏洞检测不同,开源漏洞的透明性和协同性给开源软件的漏洞感知带来巨大的挑战.因此,有许多学者和从业人员提出多种技术,从代码和开源社区中感知开源软件中潜在的漏洞和风险,以尽早发现开源软件中的漏洞从而降低漏洞所带来的损失.为了促进开源软件漏洞感知技术的发展,对已有研究成果进行系统的梳理、总结和点评.选取45篇开源漏洞感知技术的高水平论文,将其分为3大类:基于代码的漏洞感知技术、基于开源社区讨论的漏洞感知技术和基于软件补丁的漏洞感知技术,并对其进行系统地梳理、归纳和总结.值得注意的是,根据近几年最新研究的总结,首次提出基于开源软件漏洞生命周期的感知技术分类,对已有的漏洞感知技术分类进行补充和完善.最后,探索该领域的挑战,并对未来研究的方向进行展望.

开源软件供应链发展现状及对策建议

开源是人类社会协同创新、开放共享的成功实践和应用典范,开源也是国际竞争和科技创新的新焦点,“拥抱开源”已成为世界的广泛共识。于我国而言,开源技术是新一代信息技术发展的基础和动力,尤其是在推动信息技术应用创新生态建设和数字化转型方面其重要性愈发突出,作用愈发彰显。开源软件安全作为软件供应链安全的重要环节,面临着安全漏洞、知识产权和开源管制等风险。在此背景下,有必要对我国开源软件供应链发展现状和趋势进行分析,对存在的问题和面临挑战进行总结,并提出相应的对策建议。

软件著作权侵权“开源抗辩”解析

开源是构筑新质生产力的有力支撑,开源软件的有效治理是知识产权强国建设的重点和关键举措之一。在软件著作权侵权纠纷中,开源软件“群智激发→群智汇聚→群智创新”的共创模式促发了“开源抗辩”这一新型侵权抗辩事由。广义的“开源抗辩”包括潜在侵权方基于涉案软件开源特性提出的抗辩,狭义的“开源抗辩”则是立足于开源许可证的不侵权抗辩。解析“开源抗辩”,应认识到开源软件具备构成合作作品的可能性,同时应基于开源贡献者协议为其著作权权属认定留出意定空间。开源软件与派生软件间“开源抗辩”的判断重点在于是否遵循开源许可证,基于开源软件开发的派生软件与再派生软件间“开源抗辩”的本质则属于非法演绎作品的可版权性争议,应秉持“违约-侵权”二分的基本原则,在认可非法派生软件可版权性的基础上,完善开源许可证条款,并设立软件著作权集体管理组织。

开源软件成熟度评估模型研究综述

开源软件允许用户免费使用、学习、修改和再分发,具有降低软件开发成本、加速产品迭代等优点,被各领域广泛采用。随着开源软件数量急剧增长,如何对开源软件进行评估和选择成为用户面临的重要难题。对经典的开源软件成熟度评估模型进行系统分类,并分别对通用的开源软件成熟度评估模型以及开源基金会的评估模型进行详细描述和对比分析。

开源软件供应链研究综述

开源软件已经成为现代社会的一项关键基础设施,支撑着几乎所有领域的软件开发.通过安装依赖、API调用、项目fork、文件拷贝和代码克隆等形式的代码复用,开源软件之间形成了错综复杂的供应(依赖)关系网络,被称为开源软件供应链.一方面,开源软件供应链为软件开发提供了便利,已然成为软件行业的基石.另一方面,上游软件的风险可以沿着开源软件供应链波及众多的下游软件,使开源软件供应链呈现牵一发而动全身的特点.开源软件供应链近年来逐渐成为学术界和工业界的关注焦点.为了帮助增进研究人员对开源软件供应链的认识,从整体性的角度,对开源软件供应链给出定义和研究框架;然后,对国内外的研究工作进行系统文献调研,总结结构与演化、风险传播与管理、依赖管理3个方面的研究现状;最后,展望开源软件供应链的研究挑战和未来研究方向.

中国开源软件创新发展研讨会于长沙成功举办

2024年2月21日,由CCF长沙、CCF开源发展委员会主办,长沙理工大学计算机与通信工程学院承办的中国开源软件创新发展研讨会在长沙理工大学金盆岭校区成功举办。该研讨会由CCF长沙秘书长、长沙理工大学计算机与通信工程学院院长张锦教授主持。

开源软件漏洞治理的挑战与对策建议

自互联网时代来临以来,开源软件为新一代信息技术的创新发展做出了巨大贡献,同时,开源软件漏洞数量也在持续增加。由于开源软件的开放性和共享性特质,其影响范围与深度也日益扩大。通过分析开源软件和闭源软件的区别,指出了建立开源软件漏洞治理体系的必要性,从开源用户、开源社区、代码托管平台等主体出发,研究发现开源软件漏洞治理存在安全意识缺乏、安全资源投入有限、漏洞情报获取信息差等问题。基于此,提出营造安全氛围、推进开源项目高质量发展、建立开源公共服务平台等对策建议,以期为相关研究和实际应用提供参考。

基于开源软件的地理计算研究生课程教学研究

地理计算是地球信息科学研究生开展研究工作的基本操作,开源地理软件能快速有效地处理地理数据集,并能通过编程语言集成到工作流中解决复杂研究问题。利用开源地理软件进行数据处理与分析,能帮助研究生提升科研技能。以笔者开设的《GIS编程》研究生课程教学中采用开源GIS结合计算机编程处理地理数据为基础,对相关的课程教学内容设置与教学实践进行了探讨,总结了开展研究生GIS编程课程教学实践面临的问题,为相关课程设置提供建议。

开源软件供应链基础设施平台的演进及影响研究

在数字化的时代,开源软件供应链基础设施平台显著推动着信息产业中软件开发生态[1]系统的协同发展和代码质量的提升。深入研究了该类型平台的演进历程,从最早的版本控制系统演变至现代的协作和社区平台,涵盖了持续集成和交付工具、开源许可和法律工具以及软件包管理和其依赖关系管理[2]等方面。通过分析开源软件供应链基础设施平台的影响,阐述其提高软件开发效率和质量、促进知识共享和协作、推动创新和社会进步等方面[3]的作用。最后本文阐述了开源软件供应链基础设施平台的重要性,并展望了其在数字时代的发展前景。

开源软件供应链安全展望

随着科学的进步与发展,ICT(信息与通信技术)供应链在生活生产中起到越来越重要的作用。开源软件供应链是其中一环,也是各类关键信息基础设施的重要基础。与此同时,软件供应链逐步趋于复杂化和多样化,其安全风险不断加剧,日益受到学术界和产业界的重视。首先,从软件使用和软件攻击2个方面分析开源软件供应链所存在的安全问题;然后,对国内外的研究工作进行调研,总结软件物料清单技术、软件供应链安全检测技术、软件数据安全保护技术3个方面的发展现状;最后,提出在开源软件开发和使用各环节应采取的安全防范措施,以全面保障开源软件供应链安全。

基于深度学习的开源软件安全漏洞预测方法研究

针对开源软件的安全漏洞,现有预测方法的召回率和预测精准率较低,预测效果不符合预期。文章研究了基于深度学习的开源软件安全漏洞预测方法,首先将漏洞描述转换成词向量,其次从词向量中学习抽象的漏洞语义特征,并适应开源软件项目和安全项目的数据分布,最终实现漏洞特征的迁移学习。其中,文章利用sigma准则对缺失的数据进行了补全处理,以识别并删除异常数据点;采用多任务学习方法,在所有任务之间共享隐藏层的特征表示,并使用特定的分类器进行漏洞预测。实验结果表明,该方法在召回率和预测精确率方面表现出色,能够更全面地学习漏洞信息并实现良好的分类效果。

基于图注意力网络的开源软件安全漏洞检测方法

随着开源软件的普及,软件安全问题日益凸显,传统漏洞检测方法已无法应对如今的复杂病毒漏洞,其检测结果往往存在着一定的局限性,因此提出基于图注意力网络的开源软件安全漏洞检测方法。先构建图注意力网络模型,以源代码检测为切入点,进行图注意漏洞的识别检测。为验证文章所提方法中图注意力网络模型的性能,将文章所提模型与Drebin算法进行比较,结果表明图注意力网络模型能够有效检测出开源软件中安全漏洞的数量,其最大误差值为4个,相较于Drebin算法的安全漏洞检测方法具有更高的准确性和效率。

开源软件在汽车各域功能的落地探索

近年来汽车行业服务化飞速发展,但文档优先的闭源软件开发模式却限制了行业发展。为此,通过优先设计服务接口,利用树莓派等廉价板卡,使用开源软件,向非程序员原理级介绍此种方法,通过人工智能编写代码,淡化代码编写部分,强调通过开源实现接口设计兼容性。具体包括基础电气设计服务化开源,将设计流程转化为更高效灵活的服务化流程;人工智能软件开源,将开源人工智能算法封装为服务,使其广泛应用于多种场景;智能座舱操作系统与生态开源,便于车企按需选择;分布系统通信开源,便于系统早期设计与台架初试。此方案不仅能解决汽车软件开发问题,提高开发效率,降低成本,同时也是缓解地缘政治风险的有效选择。总的来说,这种开源策略可以帮助汽车行业在软件化进程和大模型席卷软件开发中取得更大突破和规避更多风险。

基于开源框架的软件体系结构教学方法探索

针对软件体系结构课程内容抽象、落地难的问题,提出基于开源框架的“案例+开源+框架”教学法,引入产业界主流技术,选择实践性强、有案例支撑的内容进行教学,在架构分析与设计的基础上进一步考虑了架构在系统实现中的应用。以软件质量属性策略及软件架构风格为纲组织教学内容,二者在主题选择上具有很好的弹性,便于根据不同学时灵活剪裁。采用开源案例和公开教学资料,使学生在理解相关知识点的同时,具备基于源码分析软件体系结构的能力,也能掌握基于框架的构件式软件开发方法。学生评教结果显示,该教学法取得了较好的教学效果。

开源软件社区贡献者维权的法律问题——以德国“McHardy v.Geniatech”案为视角

开源软件的协作开发是一个复杂的动态创作过程,开发人员的组成、分工、能力等会发生经常性改变,社区贡献者流失与对应程序包丢弃、被接管等也普遍存在。不能依据开源软件版本控制系统记录中社区贡献者的署名和核心开发团队成员的署名推定社区贡献者为软件开发者。采取分支管理代码的方式开发的开源软件,在认定其著作权归属上应区分主线版本与分支版本。社区用户提交审核的代码具有独创性并被纳入主线版本的,该社区贡献者可以认定为主线版本的共同著作权人;未经过审核被纳入主线版本的分支版本是基于开源软件初始版本的改编作品,社区贡献者可以就其单独开发的分支版本自行维权。作为主线版本及分支版本的共同著作权人,社区贡献者应根据共同著作权人行使著作权的规定维权。德国“McHardy v.Geniatech”案表明社区贡献者发送警告函的行为在权利状况、警告内容、警告范围等方面均可能存在瑕疵,超出正当范围。GPLv2第四节关于使用者违规之后开源协议自动终止的规定也为勒索式维权提供了机会。为避免社区贡献者自行营利性维权,应借鉴国外著名开源社区的经验,鼓励开源软件社区管理组织确立以公开为原则、激励合规为导向的社区投诉和维权规则。

开源软件社区用户知识贡献行为研究——基于SEM与fsQCA混合方法

[目的/意义]开源软件社区用户通常从社区中获取代码相关知识,而缺乏贡献的动机和意愿,这将影响社区的可持续发展。[方法/过程]整合动机理论与社会资本理论,构建了开源社区用户知识贡献行为模型,采用混合方法包括SEM和fsQCA对数据进行分析。[结果/结论]研究发现,内部动机(流体验、自我效能)、外部动机(感知声誉、互惠)、社会互动关系、社区认同、共同语言显著影响用户知识贡献意愿和行为。fsQCA结果显示,流体验、感知声誉、互惠、信任是4个组态的共同核心条件。研究结果启示,开源软件社区需要关注用户的内外部动机,发展社会资本,以激发用户的知识贡献意愿和行为,促进开源社区持续快速发展。