開源軟件供應(yīng)鏈

前言
第1章　什么是開源軟件供應(yīng)鏈　　/ 1
1.1　關(guān)注開源軟件供應(yīng)鏈的原因　　/ 1
1.2　開源軟件供應(yīng)鏈的基礎(chǔ)知識　　/ 8
1.2.1　開源軟件供應(yīng)鏈的定義　　/ 8
1.2.2　開源軟件供應(yīng)鏈的特征　　/ 10
1.2.3　開源軟件供應(yīng)鏈面臨的風(fēng)險(xiǎn)　　/ 16
1.2.4　開源軟件供應(yīng)鏈的法律政策　　/ 25
1.3　本書的組織框架　　/ 28
1.4　本章小結(jié)　　/ 29
第2章　開源軟件供應(yīng)鏈的國際形勢　　/ 30
2.1　具有影響力的開放組織　　/ 30
2.1.1　OpenSSF　　/ 30
2.1.2　OWASP　　/ 35
2.1.3　SPDX　　/ 36
2.1.4　OpenChain　　/ 37
2.1.5　Openwall　　/ 37
2.1.6　中國計(jì)算機(jī)學(xué)會開源發(fā)展委員會　　/ 38
2.1.7　開放原子基金會開源安全委員會　　/ 38
2.2　關(guān)注開源軟件供應(yīng)鏈安全的企業(yè)　　/ 39
2.2.1　Sonatype　　/ 39
2.2.2　Synopsys　　/ 40
2.2.3　科技巨頭　　/ 41
2.3　各國對開源軟件供應(yīng)鏈安全的態(tài)度　　/ 41
2.3.1　國外　　/ 41
2.3.2　國內(nèi)　　/ 45
2.4　本章小結(jié)　　/ 46
第3章　開源軟件供應(yīng)鏈的研究基礎(chǔ)　　/ 47
3.1　供應(yīng)鏈的相關(guān)研究　　/ 47
3.1.1　供應(yīng)鏈定義及管理研究概述　　/ 47
3.1.2　供應(yīng)鏈網(wǎng)絡(luò)研究概述　　/ 50
3.2　軟件供應(yīng)鏈的相關(guān)研究　　/ 53
3.2.1　傳統(tǒng)軟件供應(yīng)鏈研究概述　　/ 53
3.2.2　開源軟件供應(yīng)鏈研究概述　　/ 54
3.2.3　供應(yīng)鏈中關(guān)鍵軟件識別研究概述　　/ 57
3.3　軟件供應(yīng)鏈建模的相關(guān)研究　　/ 59
3.3.1　軟件倉庫挖掘研究概述　　/ 59
3.3.2　軟件工程領(lǐng)域的知識圖譜研究概述　　/ 62
3.4　本章小結(jié)　　/ 64
第4章　開源軟件供應(yīng)鏈模型　　/ 65
4.1　面向主要環(huán)節(jié)的供應(yīng)鏈模型　　/ 65
4.2　開源軟件供應(yīng)鏈的形式化模型　　/ 67
4.2.1　自動(dòng)機(jī)構(gòu)建　　/ 68
4.2.2　自動(dòng)機(jī)驗(yàn)證　　/ 73
4.3　開源軟件供應(yīng)鏈的知識化模型　　/ 77
4.3.1　本體設(shè)計(jì)　　/ 77
4.3.2　知識抽取　　/ 83
4.3.3　知識融合　　/ 88
4.3.4　知識更新　　/ 89
4.4　工業(yè)界常用的供應(yīng)鏈模型——軟件物料清單　　/ 90
4.4.1　背景　　/ 90
4.4.2　技術(shù)組成　　/ 91
4.4.3　已有的產(chǎn)品及分類　　/ 95
4.4.4　技術(shù)應(yīng)用現(xiàn)狀　　/ 97
4.4.5　挑戰(zhàn)　　/ 100
4.5　本章小結(jié)　　/ 102
第5章　開源軟件供應(yīng)鏈的風(fēng)險(xiǎn)評估體系　　/ 103
5.1　面向供應(yīng)鏈主要環(huán)節(jié)的風(fēng)險(xiǎn)防控體系　　/ 103
5.1.1　風(fēng)險(xiǎn)模型　　/ 104
5.1.2　開源軟件供應(yīng)鏈中第三方組件的風(fēng)險(xiǎn)識別　　/ 105
5.1.3　開源軟件供應(yīng)鏈視角下的應(yīng)用軟件風(fēng)險(xiǎn)識別　　/ 117
5.1.4　協(xié)作開發(fā)的風(fēng)險(xiǎn)識別　　/ 127
5.1.5　下載更新過程的風(fēng)險(xiǎn)識別　　/ 130
5.1.6　風(fēng)險(xiǎn)應(yīng)對策略　　/ 131
5.2　基于知識化模型的風(fēng)險(xiǎn)防控體系　　/ 141
5.2.1　風(fēng)險(xiǎn)模型　　/ 143
5.2.2　面向安全性風(fēng)險(xiǎn)的管控方法　　/ 144
5.2.3　面向合規(guī)性風(fēng)險(xiǎn)的管控方法　　/ 146
5.2.4　面向維護(hù)性風(fēng)險(xiǎn)的管控方法　　/ 149
5.2.5　風(fēng)險(xiǎn)應(yīng)對策略　　/ 154
5.3　本章小結(jié)　　/ 156
第6章　開源軟件供應(yīng)鏈的關(guān)鍵節(jié)點(diǎn)識別與維護(hù)　　/ 157
6.1　開源軟件供應(yīng)鏈的關(guān)鍵節(jié)點(diǎn)　　/ 157
6.2　關(guān)鍵節(jié)點(diǎn)識別方法　　/ 159
6.2.1　Criticality score　　/ 159
6.2.2　Gitee指數(shù)　　/ 161
6.2.3　CriticalityRank　　/ 164
6.3　本章小結(jié)　　/ 173
第7章　供應(yīng)鏈軟件評估和篩選　　/ 174
7.1　供應(yīng)鏈軟件　　/ 174
7.2　供應(yīng)鏈軟件評估需要解決的問題　　/ 176
7.3　供應(yīng)鏈軟件評估指標(biāo)體系　　/ 177
7.3.1　評估屬性定義　　/ 178
7.3.2　評估屬性度量　　/ 180
7.4　供應(yīng)鏈軟件評估方案　　/ 182
7.4.1　指標(biāo)權(quán)重設(shè)計(jì)　　/ 183
7.4.2　評估結(jié)果計(jì)算　　/ 185
7.5　供應(yīng)鏈軟件評估模型評價(jià)　　/ 189
7.6　面臨的問題與挑戰(zhàn)　　/ 191
7.6.1　研究難點(diǎn)與挑戰(zhàn)　　/ 191
7.6.2　未來研究方向　　/ 193
7.7　本章小結(jié)　　/ 198
第8章　開源軟件供應(yīng)鏈基礎(chǔ)設(shè)施的建設(shè)　　/ 199
8.1　需求分析　　/ 199
8.1.1　開源軟件供應(yīng)鏈基礎(chǔ)設(shè)施的功能性需求　　/ 200
8.1.2　開源軟件供應(yīng)鏈基礎(chǔ)設(shè)施的非功能性需求　　/ 202
8.1.3　開源軟件供應(yīng)鏈基礎(chǔ)設(shè)施的目標(biāo)用戶　　/ 203
8.2　基礎(chǔ)設(shè)施設(shè)計(jì)　　/ 205
8.2.1　總體設(shè)計(jì)　　/ 206
8.2.2　數(shù)據(jù)基礎(chǔ)設(shè)施　　/ 210
8.2.3　一體化服務(wù)基礎(chǔ)設(shè)施　　/ 212
8.3　本章小結(jié)　　/ 215
第9章　開源軟件供應(yīng)鏈的呈現(xiàn)與應(yīng)用　　/ 216
9.1　供應(yīng)鏈管理的可視化呈現(xiàn)　　/ 216
9.1.1　知識圖譜的可視化表示技術(shù)　　/ 218
9.1.2　大規(guī)模知識圖譜的可視化技術(shù)　　/ 218
9.1.3　知識圖譜的可視化查詢　　/ 219
9.1.4　開源軟件供應(yīng)鏈管理的可視化呈現(xiàn)　　/ 223
9.2　典型應(yīng)用案例　　/ 225
9.2.1　在openEuler開源社區(qū)的應(yīng)用　　/ 225
9.2.2　在PyPI開源制品倉庫的應(yīng)用　　/ 232
9.2.3　開源軟件供應(yīng)鏈點(diǎn)亮計(jì)劃　　/ 236
9.3　本章小結(jié)　　/ 241
參考文獻(xiàn)　　/ 242