-
题名面向Java语言生态的软件供应链安全分析技术
- 1
-
-
作者
毛天宇
王星宇
常瑞
申文博
任奎
-
机构
浙江大学网络空间安全学院
浙江大学软件学院
浙江大学杭州国际科创中心
浙江省区块链与网络空间治理重点实验室(浙江大学)
-
出处
《软件学报》
EI
CSCD
北大核心
2023年第6期2628-2640,共13页
-
基金
国家重点研发计划(2022YFE0113200)
浙江省重点研发计划(2022C01165)。
-
文摘
随着开源软件技术的不断发展,为提高开发效率并降低人力成本,组件化开发模式逐渐得到行业的认可,开发人员可以利用相关工具便捷地使用第三方组件,也可将自己开发的组件贡献给开发社区,从而形成了软件供应链.然而,这种开发模式必然会导致高危漏洞随组件之间的依赖链条扩散到其他组件或项目,从而造成漏洞影响的扩大化.例如2021年底披露的Log4j2漏洞,通过软件供应链对Java生态安全造成了巨大影响.当前,针对Java语言软件供应链安全的分析与研究大多是对组件或项目进行抽样调研,这忽略了组件或项目对整个开源生态的影响,无法精准衡量其对生态所产生的影响.为此,针对Java语言生态软件供应链安全分析技术展开研究,首次给出了软件供应链安全领域的组件依赖关系和影响力等重要指标的形式化定义,并据此提出了基于索引文件的增量式组件配置收集和基于POM语义的多核并行依赖解析,设计实现了Java开源生态组件依赖关系提取与解析框架,收集并提取超过880万个组件版本和6500万条依赖关系.在此基础上,以受到漏洞影响的日志库Log4j2为例,全面评估其对生态的影响以及修复比例.结果表明:该漏洞影响了生态15.12%的组件(71082个)以及16.87%的组件版本(1488971个),同时,仅有29.13%的组件在最新版本中进行了修复.
-
关键词
软件供应链
组件依赖关系
漏洞传播影响力
Log4j2
-
Keywords
software supply chain
component dependencies
vulnerability propagation impact
Log4j2
-
分类号
TP311
[自动化与计算机技术—计算机软件与理论]
-
