Nike＇ s Resilience from Its Supply Chain Disaster

In this study, Nike’s i2 software to improve its supply chain system in 2000 is discussed, and Nike’s resilience from its sup-ply chain disaster caused by i2 software is introduced and analyzed with Yossi Sheffi’s resilient model, and a brief conclusion is given ac-cordingly.

开源软件库生态治理技术研究综述:二十年进展

在“人-机-物”三元融合、泛在计算的时代蓝海下,“开放多变”“需求多样”和“场景复杂”的软件部署和运行环境对开源软件库生态的治理技术提出了更多需求和更高期望.为进一步推动构建可信软件供应链生态,围绕泛在计算模式、打造自主可控的技术体系,聚焦于开源软件库管理生态,收集近20多年来(2001–2023)发表于软件工程领域较高影响力的学术期刊和会议的348篇论文,对开源软件库生态治理技术的研究工作进行梳理.讨论开源软件库生态的建模与分析、演化与维护、质量保证和管理等方面的工作,总结研究现状、问题、挑战与趋势.

大模型赋能软件供应链开发环节安全研究综述

随着信息技术的快速发展,软件的模块化与产业化趋势愈加显著,导致软件构建的复杂性持续攀升,从而暴露出更多的攻击面,引发了多起软件供应链攻击事件。软件供应链安全不仅具有攻击门槛低、攻击方式多样、攻击隐蔽性强等特点,而且能够影响软件供应链下游安全,显著扩大了攻击范围,成为业界广泛关注的焦点。首先,本文介绍了软件供应链安全的背景,以大模型及软件供应链安全的相关概念为出发点,描述了软件供应链安全防护的发展历程。接着,本文着重探讨了大模型在软件开发环节供应链安全防护中的应用研究,通过系统梳理和分析现有研究成果,分别从顶级源、依赖项、软件包构件及其构建过程四个维度,介绍了大模型赋能软件供应链安全防护技术的研究现状。在此基础上,本文通过对比传统软件供应链安全防护的技术与方法,重点分析了大模型赋能软件供应链开发环节安全方面的优势和机遇。最后,结合对当前研究现状的调研分析,本文总结了大模型在软件供应链安全防护技术中面临的数据集构建、模型训练微调、模型稳定性以及引入新的供应链安全等问题,并据此提出了未来可能的研究方向,以期为推动该领域的持续发展提供有益的参考和启示。

开源软件供应链研究综述

开源软件已经成为现代社会的一项关键基础设施,支撑着几乎所有领域的软件开发.通过安装依赖、API调用、项目fork、文件拷贝和代码克隆等形式的代码复用,开源软件之间形成了错综复杂的供应(依赖)关系网络,被称为开源软件供应链.一方面,开源软件供应链为软件开发提供了便利,已然成为软件行业的基石.另一方面,上游软件的风险可以沿着开源软件供应链波及众多的下游软件,使开源软件供应链呈现牵一发而动全身的特点.开源软件供应链近年来逐渐成为学术界和工业界的关注焦点.为了帮助增进研究人员对开源软件供应链的认识,从整体性的角度,对开源软件供应链给出定义和研究框架;然后,对国内外的研究工作进行系统文献调研,总结结构与演化、风险传播与管理、依赖管理3个方面的研究现状;最后,展望开源软件供应链的研究挑战和未来研究方向.

基础电信企业软件供应链安全风险识别与技术研究

随着当前软件复杂度不断增加、开源化趋势日益增强,基础电信企业软件供应链各个环节面临的数据泄露、安全漏洞和恶意篡改等威胁随之加剧。本文对基础电信企业软件供应链中主要涉及的商采软件和自研软件的安全风险进行分析识别,并对相关软件供应链风险分析技术进行梳理和研究。

软件物料清单的应用与发展研究

随着计算机技术的快速发展,软件已成为人们生活中不可或缺的一部分,并且软件安全已经成为一个备受关注的焦点议题。同时,软件供应链多次受到攻击。为了深入了解软件的安全及其组成成分,产生了软件物料清单这一关键概念。软件物料清单的目的是提供软件供应链的透明度和可管理性。通过明确列出软件中使用的组件和其相关信息,软件物料清单可以帮助企业追踪和管理软件的来源、版本、许可证信息等。这有助于降低供应链风险,确保软件的合规性,并提高安全性。本文从软件物料清单国内外现状到其特点和应用做出了介绍,同时详细说明了软件物料清单在软件供应链安全中的使用,并以此为切入点,通过对工具的对比,提出了未来软件物料清单的发展方向并表明了软件物料清单的重要性。

开源软件供应链安全风险分析研究

开源软件已经成为支撑数字社会正常运转的最基本元素之一,渗透到各个行业和领域.随着开源软件供应链越发复杂多元,开源软件供应链安全攻击事件造成的危害也越发严重.梳理了开源软件供应链生态发展现状和世界主要国家开源软件供应链安全战略布局,从开源软件开发安全、使用安全和运营安全维度,提出了开源软件供应链安全风险分析体系,给出当前开源软件供应链面临的主要安全风险,构建了开源软件供应链安全保障模型,并从供应链环节、相关主体和保障措施3个维度提出我国开源软件供应链安全与发展对策建议.

开源软件供应链发展现状及对策建议

开源是人类社会协同创新、开放共享的成功实践和应用典范,开源也是国际竞争和科技创新的新焦点,“拥抱开源”已成为世界的广泛共识。于我国而言,开源技术是新一代信息技术发展的基础和动力,尤其是在推动信息技术应用创新生态建设和数字化转型方面其重要性愈发突出,作用愈发彰显。开源软件安全作为软件供应链安全的重要环节,面临着安全漏洞、知识产权和开源管制等风险。在此背景下,有必要对我国开源软件供应链发展现状和趋势进行分析,对存在的问题和面临挑战进行总结,并提出相应的对策建议。

基础软件供应链安全现状分析与对策建议

基础软件是支撑计算机系统高效稳定运行的基石,决定数字基础设施发展的水平.以操作系统、数据库、中间件为代表的基础软件产业链在整个软件产业处于上游位置,直接影响下游产出的规模和效益.由于基础软件具有研发周期长、投入大等特点,在软件供应链日益复杂的环境下,逐渐引起各国重视并上升至国家战略高度.近年来,我国基础软件产业借助开源路径提速发展的同时,发生了众多基础软件供应链安全事件,带来了风险挑战.梳理了基础软件供应链安全现状,分析基础软件供应链面临的风险挑战,并从政策、产业、用户、生态4个层面提出合理化对策建议.

关键信息基础设施软件供应链风险分析及应对方法研究

关键信息基础设施中系统的安全保护至关重要,软件供应链风险分析在其中不可或缺.近年来供应链攻击事件迅速增长,形势严峻.以软件供应链威胁的主要诱因,如“外部”的软件成分、人员、支撑工具等要素的潜在问题分析为出发点,结合对国内外政策和技术的现状研究,提出了针对电力行业系统的软件供应链安全保障框架,涵盖了外部组件治理、供应商管理、研运设施加固、软件物料清单应用机制4方面15组安全方法,并可持续扩展,旨在为电力行业重要信息系统的软件供应链安全防护提供参考.

基于生命周期的软件供应链风险评估方法研究

随着软件开发模式的演变,软件供应链风险评估已成为亟待解决的重要问题。基于对资产、威胁和脆弱性的分析,建立软件供应链生命周期各阶段的开源和闭源风险指标体系,并利用模糊综合评价法确定风险等级,有效识别和管理潜在的安全威胁。这一方法可以通过软件供应链生命周期的不同阶段指标体系重新组合,得到混源软件供应链生命周期的指标体系,从而实现对混源软件供应链的风险评估。此方法适用于开源、闭源和混源软件供应链的风险分析与评估,是一种融合定性分析与定量分析的综合评估方法,并通过实例验证了该方法的有效性,为软件供应链风险评估提供了新的理论方法。

基于AIGC的开源软件供应链风险识别

开源软件作为现代信息产业的核心组成部分,不仅在促进技术共享、降低成本以及提升社会经济效益方面发挥重要作用,而且对信息技术的持续发展产生深远的影响。然而,随着开源软件生态的不断壮大,其供应链关系日趋复杂化,安全风险也随之显著增加。因此,识别和应对开源软件供应链中的风险变得尤为关键。通过文献调研和分析,系统地总结开源软件供应链中各个环节的典型风险点,将生成式人工智能(AIGC)技术应用于这些风险点的识别进行深入分析,为在AI时代开源软件供应链风险管理提供新的视角和方法。

智能网联新能源汽车软件供应链网络安全浅析

智能网联新能源汽车的兴起标志着汽车产业正朝着智能化、网联化和电动化的方向发展。然而,与之相关的软件供应链安全问题也日益凸显。本文从智能网联新能源汽车软件供应链的概念定义入手,分析了其发展背景及发展现状,探讨了国际标准和国内标准中与其网络安全相关的内容,指出了存在的安全问题,并提出了相应的解决方案和建议,以促进智能网联新能源汽车软件供应链网络安全的提升。

开源软件供应链安全展望

随着科学的进步与发展,ICT(信息与通信技术)供应链在生活生产中起到越来越重要的作用。开源软件供应链是其中一环,也是各类关键信息基础设施的重要基础。与此同时,软件供应链逐步趋于复杂化和多样化,其安全风险不断加剧,日益受到学术界和产业界的重视。首先,从软件使用和软件攻击2个方面分析开源软件供应链所存在的安全问题;然后,对国内外的研究工作进行调研,总结软件物料清单技术、软件供应链安全检测技术、软件数据安全保护技术3个方面的发展现状;最后,提出在开源软件开发和使用各环节应采取的安全防范措施,以全面保障开源软件供应链安全。

工业软件供应链安全风险分析及应对措施

随着信息化和工业化的深入融合,工业软件供应链的安全问题逐渐凸显。文章深入剖析了工业软件供应链存在的问题、威胁和风险,并详细描述了软件供应链攻击的类型、特点以及可能带来的影响。为了解决这些问题,文章提出了一套基于信息化运维的工业软件供应链安全防护模型,并设计了相应的防护措施。同时,通过整合人工智能、区块链和云计算等先进技术,有效提高了供应链防护的效率和效果。

开源软件供应链基础设施平台的演进及影响研究

在数字化的时代,开源软件供应链基础设施平台显著推动着信息产业中软件开发生态[1]系统的协同发展和代码质量的提升。深入研究了该类型平台的演进历程,从最早的版本控制系统演变至现代的协作和社区平台,涵盖了持续集成和交付工具、开源许可和法律工具以及软件包管理和其依赖关系管理[2]等方面。通过分析开源软件供应链基础设施平台的影响,阐述其提高软件开发效率和质量、促进知识共享和协作、推动创新和社会进步等方面[3]的作用。最后本文阐述了开源软件供应链基础设施平台的重要性,并展望了其在数字时代的发展前景。

基于服务产品的服务供应链设计

在结合服务供应链自身特性的基础上,提出了基于服务产品的服务供应链集成化设计过程。该过程主要包括服务供应链构建的需求分析、服务产品的设计、服务供应链类型的确定、服务供应链成员的选择与确定、服务供应链的形成与运行等5个方面。结果表明,服务供应链设计将更多地采用精益供应链和精益敏捷型供应链相结合的集成化设计方式。以天津宝运物流股份公司为例,介绍了该公司进行服务供应链设计的主要策略。

REPAST——一个多Agent仿真平台

介绍了开放源代码的多Agent仿真(MABS)平台REPAST及其应用现状。通过与另一个MABS平台SWARM的比较,发现REPAST更适合中国的计算机应用环境。分析了REPAST的软件结构以及离散事件调度机制,总结了REPAST仿真模型的结构。通过分析REPAST的源代码,修改了REPAST在软件国际化方面的一个缺陷,使之更好地支持中文、日文等多种语言。最后结合一个供应链仿真实例阐述了REPAST仿真程序的设计与实现方法。

国外ICT供应链安全管理研究及建议

鉴于国家关键基础设施和关键资源(CIKR)对信息通信技术(ICT)的依赖,识别和控制ICT供应链风险已成为保障国家安全的重要手段。美国作为ICT供应链管理的先行者,在提升战略地位、开展风险管理、确保软硬件安全、监管政府采购等方面为各国提供了丰富经验;欧盟、俄罗斯也加强了ICT供应链的安全管理。在分析上述国外情况的基础上,给出了完善我国ICT供应链安全管理的相关建议。

分布式电子商务服务供应链建立过程简单模型

讨论服务供应链建立过程的模型。首先讨论服务供应链相关的基本概念,然后在已有概念的基础上详细分析简单的链状服务供应链的建立过程并给出了相应的模型。随后分析建立过程中算法的复杂性,并在该基础上提出了优化方法。