開(kāi)源軟件供應(yīng)鏈

前言
第1章　什么是開(kāi)源軟件供應(yīng)鏈　　/ 1
1.1　關(guān)注開(kāi)源軟件供應(yīng)鏈的原因　　/ 1
1.2　開(kāi)源軟件供應(yīng)鏈的基礎(chǔ)知識(shí)　　/ 8
1.2.1　開(kāi)源軟件供應(yīng)鏈的定義　　/ 8
1.2.2　開(kāi)源軟件供應(yīng)鏈的特征　　/ 10
1.2.3　開(kāi)源軟件供應(yīng)鏈面臨的風(fēng)險(xiǎn)　　/ 16
1.2.4　開(kāi)源軟件供應(yīng)鏈的法律政策　　/ 25
1.3　本書(shū)的組織框架　　/ 28
1.4　本章小結(jié)　　/ 29
第2章　開(kāi)源軟件供應(yīng)鏈的國(guó)際形勢(shì)　　/ 30
2.1　具有影響力的開(kāi)放組織　　/ 30
2.1.1　OpenSSF　　/ 30
2.1.2　OWASP　　/ 35
2.1.3　SPDX　　/ 36
2.1.4　OpenChain　　/ 37
2.1.5　Openwall　　/ 37
2.1.6　中國(guó)計(jì)算機(jī)學(xué)會(huì)開(kāi)源發(fā)展委員會(huì)　　/ 38
2.1.7　開(kāi)放原子基金會(huì)開(kāi)源安全委員會(huì)　　/ 38
2.2　關(guān)注開(kāi)源軟件供應(yīng)鏈安全的企業(yè)　　/ 39
2.2.1　Sonatype　　/ 39
2.2.2　Synopsys　　/ 40
2.2.3　科技巨頭　　/ 41
2.3　各國(guó)對(duì)開(kāi)源軟件供應(yīng)鏈安全的態(tài)度　　/ 41
2.3.1　國(guó)外　　/ 41
2.3.2　國(guó)內(nèi)　　/ 45
2.4　本章小結(jié)　　/ 46
第3章　開(kāi)源軟件供應(yīng)鏈的研究基礎(chǔ)　　/ 47
3.1　供應(yīng)鏈的相關(guān)研究　　/ 47
3.1.1　供應(yīng)鏈定義及管理研究概述　　/ 47
3.1.2　供應(yīng)鏈網(wǎng)絡(luò)研究概述　　/ 50
3.2　軟件供應(yīng)鏈的相關(guān)研究　　/ 53
3.2.1　傳統(tǒng)軟件供應(yīng)鏈研究概述　　/ 53
3.2.2　開(kāi)源軟件供應(yīng)鏈研究概述　　/ 54
3.2.3　供應(yīng)鏈中關(guān)鍵軟件識(shí)別研究概述　　/ 57
3.3　軟件供應(yīng)鏈建模的相關(guān)研究　　/ 59
3.3.1　軟件倉(cāng)庫(kù)挖掘研究概述　　/ 59
3.3.2　軟件工程領(lǐng)域的知識(shí)圖譜研究概述　　/ 62
3.4　本章小結(jié)　　/ 64
第4章　開(kāi)源軟件供應(yīng)鏈模型　　/ 65
4.1　面向主要環(huán)節(jié)的供應(yīng)鏈模型　　/ 65
4.2　開(kāi)源軟件供應(yīng)鏈的形式化模型　　/ 67
4.2.1　自動(dòng)機(jī)構(gòu)建　　/ 68
4.2.2　自動(dòng)機(jī)驗(yàn)證　　/ 73
4.3　開(kāi)源軟件供應(yīng)鏈的知識(shí)化模型　　/ 77
4.3.1　本體設(shè)計(jì)　　/ 77
4.3.2　知識(shí)抽取　　/ 83
4.3.3　知識(shí)融合　　/ 88
4.3.4　知識(shí)更新　　/ 89
4.4　工業(yè)界常用的供應(yīng)鏈模型——軟件物料清單　　/ 90
4.4.1　背景　　/ 90
4.4.2　技術(shù)組成　　/ 91
4.4.3　已有的產(chǎn)品及分類　　/ 95
4.4.4　技術(shù)應(yīng)用現(xiàn)狀　　/ 97
4.4.5　挑戰(zhàn)　　/ 100
4.5　本章小結(jié)　　/ 102
第5章　開(kāi)源軟件供應(yīng)鏈的風(fēng)險(xiǎn)評(píng)估體系　　/ 103
5.1　面向供應(yīng)鏈主要環(huán)節(jié)的風(fēng)險(xiǎn)防控體系　　/ 103
5.1.1　風(fēng)險(xiǎn)模型　　/ 104
5.1.2　開(kāi)源軟件供應(yīng)鏈中第三方組件的風(fēng)險(xiǎn)識(shí)別　　/ 105
5.1.3　開(kāi)源軟件供應(yīng)鏈視角下的應(yīng)用軟件風(fēng)險(xiǎn)識(shí)別　　/ 117
5.1.4　協(xié)作開(kāi)發(fā)的風(fēng)險(xiǎn)識(shí)別　　/ 127
5.1.5　下載更新過(guò)程的風(fēng)險(xiǎn)識(shí)別　　/ 130
5.1.6　風(fēng)險(xiǎn)應(yīng)對(duì)策略　　/ 131
5.2　基于知識(shí)化模型的風(fēng)險(xiǎn)防控體系　　/ 141
5.2.1　風(fēng)險(xiǎn)模型　　/ 143
5.2.2　面向安全性風(fēng)險(xiǎn)的管控方法　　/ 144
5.2.3　面向合規(guī)性風(fēng)險(xiǎn)的管控方法　　/ 146
5.2.4　面向維護(hù)性風(fēng)險(xiǎn)的管控方法　　/ 149
5.2.5　風(fēng)險(xiǎn)應(yīng)對(duì)策略　　/ 154
5.3　本章小結(jié)　　/ 156
第6章　開(kāi)源軟件供應(yīng)鏈的關(guān)鍵節(jié)點(diǎn)識(shí)別與維護(hù)　　/ 157
6.1　開(kāi)源軟件供應(yīng)鏈的關(guān)鍵節(jié)點(diǎn)　　/ 157
6.2　關(guān)鍵節(jié)點(diǎn)識(shí)別方法　　/ 159
6.2.1　Criticality score　　/ 159
6.2.2　Gitee指數(shù)　　/ 161
6.2.3　CriticalityRank　　/ 164
6.3　本章小結(jié)　　/ 173
第7章　供應(yīng)鏈軟件評(píng)估和篩選　　/ 174
7.1　供應(yīng)鏈軟件　　/ 174
7.2　供應(yīng)鏈軟件評(píng)估需要解決的問(wèn)題　　/ 176
7.3　供應(yīng)鏈軟件評(píng)估指標(biāo)體系　　/ 177
7.3.1　評(píng)估屬性定義　　/ 178
7.3.2　評(píng)估屬性度量　　/ 180
7.4　供應(yīng)鏈軟件評(píng)估方案　　/ 182
7.4.1　指標(biāo)權(quán)重設(shè)計(jì)　　/ 183
7.4.2　評(píng)估結(jié)果計(jì)算　　/ 185
7.5　供應(yīng)鏈軟件評(píng)估模型評(píng)價(jià)　　/ 189
7.6　面臨的問(wèn)題與挑戰(zhàn)　　/ 191
7.6.1　研究難點(diǎn)與挑戰(zhàn)　　/ 191
7.6.2　未來(lái)研究方向　　/ 193
7.7　本章小結(jié)　　/ 198
第8章　開(kāi)源軟件供應(yīng)鏈基礎(chǔ)設(shè)施的建設(shè)　　/ 199
8.1　需求分析　　/ 199
8.1.1　開(kāi)源軟件供應(yīng)鏈基礎(chǔ)設(shè)施的功能性需求　　/ 200
8.1.2　開(kāi)源軟件供應(yīng)鏈基礎(chǔ)設(shè)施的非功能性需求　　/ 202
8.1.3　開(kāi)源軟件供應(yīng)鏈基礎(chǔ)設(shè)施的目標(biāo)用戶　　/ 203
8.2　基礎(chǔ)設(shè)施設(shè)計(jì)　　/ 205
8.2.1　總體設(shè)計(jì)　　/ 206
8.2.2　數(shù)據(jù)基礎(chǔ)設(shè)施　　/ 210
8.2.3　一體化服務(wù)基礎(chǔ)設(shè)施　　/ 212
8.3　本章小結(jié)　　/ 215
第9章　開(kāi)源軟件供應(yīng)鏈的呈現(xiàn)與應(yīng)用　　/ 216
9.1　供應(yīng)鏈管理的可視化呈現(xiàn)　　/ 216
9.1.1　知識(shí)圖譜的可視化表示技術(shù)　　/ 218
9.1.2　大規(guī)模知識(shí)圖譜的可視化技術(shù)　　/ 218
9.1.3　知識(shí)圖譜的可視化查詢　　/ 219
9.1.4　開(kāi)源軟件供應(yīng)鏈管理的可視化呈現(xiàn)　　/ 223
9.2　典型應(yīng)用案例　　/ 225
9.2.1　在openEuler開(kāi)源社區(qū)的應(yīng)用　　/ 225
9.2.2　在PyPI開(kāi)源制品倉(cāng)庫(kù)的應(yīng)用　　/ 232
9.2.3　開(kāi)源軟件供應(yīng)鏈點(diǎn)亮計(jì)劃　　/ 236
9.3　本章小結(jié)　　/ 241
參考文獻(xiàn)　　/ 242