開源軟件供應鏈

梁冠宇，中國科學院軟件研究所工程師，主要研究方向為開源軟件供應鏈風險管理、數據治理、數字簽名。

前言
第1章 什麽是開源軟件供應鏈
1.1 關註開源軟件供應鏈的原因
1.2 開源軟件供應鏈的基礎知識
1.2.1 開源軟件供應鏈的定義
1.2.2 開源軟件供應鏈的特徵
1.2.3 開源軟件供應鏈面臨的風險
1.2.4 開源軟件供應鏈的法律政策
1.3 本書的組織框架
1.4 本章小結
第2章 開源軟件供應鏈的國際形勢
2.1 具有影響力的開放組織
2.1.1 OpenSSF
2.1.2 OWASP
2.1.3 SPDX
2.1.4 OpenChain
2.1.5 Openwall
2.1.6 中國計算機學會開源發展委員會
2.1.7 開放原子基金會開源安全委員會
2.2 關註開源軟件供應鏈安全的企業
2.2.1 Sonatype
2.2.2 Synopsys
2.2.3 科技巨頭
2.3 各國對開源軟件供應鏈安全的態度
2.3.1 國外
2.3.2 國內
2.4 本章小結
第3章 開源軟件供應鏈的研究基礎
3.1 供應鏈的相關研究
3.1.1 供應鏈定義及管理研究概述
3.1.2 供應鏈網絡研究概述
3.2 軟件供應鏈的相關研究
3.2.1 傳統軟件供應鏈研究概述
3.2.2 開源軟件供應鏈研究概述
3.2.3 供應鏈中關鍵軟件識別研究概述
3.3 軟件供應鏈建模的相關研究
3.3.1 軟件倉庫挖掘研究概述
3.3.2 軟件工程領域的知識圖譜研究概述
3.4 本章小結
第4章 開源軟件供應鏈模型
4.1 面向主要環節的供應鏈模型
4.2 開源軟件供應鏈的形式化模型
4.2.1 自動機構建
4.2.2 自動機驗證
4.3 開源軟件供應鏈的知識化模型
4.3.1 本體設計
4.3.2 知識抽取
4.3.3 知識融合
4.3.4 知識更新
4.4 工業界常用的供應鏈模型——軟件物料清單
4.4.1 背景
4.4.2 技術組成
4.4.3 已有的產品及分類
4.4.4 技術應用現狀
4.4.5 挑戰
4.5 本章小結
第5章 開源軟件供應鏈的風險評估體系
5.1 面向供應鏈主要環節的風險防控體系
5.1.1 風險模型
5.1.2 開源軟件供應鏈中第三方組件的風險識別
5.1.3 開源軟件供應鏈視角下的應用軟件風險識別
5.1.4 協作開發的風險識別
5.1.5 下載更新過程的風險識別
5.1.6 風險應對策略
5.2 基於知識化模型的風險防控體系
5.2.1 風險模型
5.2.2 面向安全性風險的管控方法
5.2.3 面向合規性風險的管控方法
5.2.4 面向維護性風險的管控方法
5.2.5 風險應對策略
5.3 本章小結
第6章 開源軟件供應鏈的關鍵節點識別與維護
6.1 開源軟件供應鏈的關鍵節點
6.2 關鍵節點識別方法
6.2.1 Criticality score
6.2.2 Gitee指數
6.2.3 CriticalityRank
6.3 本章小結
第7章 供應鏈軟件評估和篩選
7.1 供應鏈軟件
7.2 供應鏈軟件評估需要解決的問題
7.3 供應鏈軟件評估指標體系
7.3.1 評估屬性定義
7.3.2 評估屬性度量
7.4 供應鏈軟件評估方案
7.4.1 指標權重設計
7.4.2 評估結果計算
7.5 供應鏈軟件評估模型評價
7.6 面臨的問題與挑戰
7.6.1 研究難點與挑戰
7.6.2 未來研究方向
7.7 本章小結
第8章 開源軟件供應鏈基礎設施的建設
8.1 需求分析
8.1.1 開源軟件供應鏈基礎設施的功能性需求
8.1.2 開源軟件供應鏈基礎設施的非功能性需求
8.1.3 開源軟件供應鏈基礎設施的目標用戶
8.2 基礎設施設計
8.2.1 總體設計
8.2.2 數據基礎設施
8.2.3 一體化服務基礎設施
8.3 本章小結
第9章 開源軟件供應鏈的呈現與應用
9.1 供應鏈管理的可視化呈現
9.1.1 知識圖譜的可視化表示技術
9.1.2 大規模知識圖譜的可視化技術
9.1.3 知識圖譜的可視化查詢
9.1.4 開源軟件供應鏈管理的可視化呈現
9.2 典型應用案例
9.2.1 在openEuler開源社區的應用
9.2.2 在PyPI開源製品倉庫的應用
9.2.3 開源軟件供應鏈點亮計劃
9.3 本章小結
參考文獻