软件供应链安全料理是保护软件建立和托付历程中统共组件的安全性和完满性的遑急神气,软件供应链安寰宇度范例及战略的发布,为企业软件供应链安全料理提供了依据。
本文摘选自软件供应链安全鼓励职责组交流、苏州棱镜七彩信息科技有限公司编缉的《2023软件供应链安全盘问阐明》中第八章《保险软件供应链安全智商评估及安全料理推行》旨在展示北京航空航天大学在筹划轨制下进行的开源基础软件供应链安全风险分析料理推行。
OpenEuler(欧拉操作系统)是一个开源、免费的Linux刊行版平台,是大师建立者最柔柔的开源方法之一。为分析OpenEuler操作系统的供应链安全风险,北航软件学院盘问团队分析了其软件包筹划数据以及社区信息数据,并欺骗筹划数据和图数据库构建OpenEuler操作系统的供应链学问图谱。其中学问图谱包括软件包、建立者、仓库、罅隙、 仓库提交记载等实体与关系。并完成基于供应链结构和软件包社区信息的枢纽节点评分和识别,通过罅隙数据的网罗进行安全风险点的分析。
终末基于OpenEuler学问图谱、安全风险节点分析等盘问,团队罢显着面向OpenEuler软件包供应链的分析系统,从而复旧对OpenEuler软件包依赖结构的可视化呈现、潜在安全风险的预警,为保证OpenEuler操作系统的踏实性、安全性和可靠性提供新的惩处决策。
方法的效果和工夫亮点主要包括:
1.数据源全面且踏实。欺骗OpenEuler官方软件包仓库和oepkgs社区仓库进行信息获取,涵盖了OpenEuler生态提供软件包做事的统共路线,全面肃清了多样供应链数据源。同期罢显着按期进行数据网罗的功能,使得供应链简略抓续更新。
2.罅隙传播分析。通过OpenEuler的安全公告和罅隙料理获取CVE罅隙信息,对罅隙进行实体筹画并添加进学问图谱。筹画了基于多级依赖(包依赖、函数依赖)分析的罅隙传播旅途查询用具,使得软件包波折引入的罅隙信息和其引入的罅隙旅途不错被建立东谈主员肤浅地挖掘。
3.枢纽节点分析。改进性地从供应链结构和社区信息两个范例进行了遑急性评分,以评估节点在供应链齐集中的影响力和节点在OpenEuler社区中的柔柔度。针对供应链结构的评分分袂于使用单一的盘问想法,遴荐了复杂齐集分析设施的复合想法进行意象,包括度中心性算法、介数中心性算法以及PageRank算法等。针对社区信息的评分纠合OpenEuler生态特色和谷歌Criticality Score范例进行计较2024欧洲杯官网入口,想法包括仓库创建时代、建立者数目、最近更新时代等推行,何况纠合了OpenEuler操作系统开源许可证白名单的推行进行生态维度的遑急性评估,升迁了评分放置的真确度和正确性。