北京航空航天大学开源基础软件供应链安全风险分析

软件供应链安全管理是保护软件开发和交付过程中所有组件的安全性和完整性的重要环节，软件供应链安全国家标准及政策的发布，为企业软件供应链安全管理提供了依据。

本文摘选自软件供应链安全推进工作组指导、苏州棱镜七彩信息科技有限公司主笔的《2023软件供应链安全研究报告》中第八章《保障软件供应链安全能力评估及安全管理实践》旨在展示北京航空航天大学在相关制度下进行的开源基础软件供应链安全风险分析管理实践。

OpenEuler（欧拉操作系统）是一个开源、免费的Linux发行版平台，是全球开发者最关注的开源项目之一。为分析OpenEuler操作系统的供应链安全风险，北航软件学院研究团队分析了其软件包相关数据以及社区信息数据，并利用相关数据和图数据库构建OpenEuler操作系统的供应链知识图谱。其中知识图谱包括软件包、开发者、仓库、漏洞、 仓库提交记录等实体与关系。并完成基于供应链结构和软件包社区信息的关键节点评分和识别，通过漏洞数据的收集进行安全风险点的分析。

最后基于OpenEuler知识图谱、安全风险节点分析等研究，团队实现了面向OpenEuler软件包供应链的分析系统，从而支持对OpenEuler软件包依赖结构的可视化呈现、潜在安全风险的预警，为保证OpenEuler操作系统的稳定性、安全性和可靠性提供新的解决方案。

项目的成果和技术亮点主要包括：

1.数据源全面且稳定。利用OpenEuler官方软件包仓库和oepkgs社区仓库进行信息获取，涵盖了OpenEuler生态提供软件包服务的所有途径，全面覆盖了各种供应链数据源。同时实现了定期进行数据收集的功能，使得供应链能够持续更新。

2.漏洞传播分析。通过OpenEuler的安全公告和漏洞管理获得CVE漏洞信息，对漏洞进行实体设计并添加进知识图谱。设计了基于多级依赖（包依赖、函数依赖）分析的漏洞传播路径查询工具，使得软件包间接引入的漏洞信息和其引入的漏洞路径可以被开发人员便捷地挖掘。

3.关键节点分析。创新性地从供应链结构和社区信息两个标准进行了重要性评分，以评估节点在供应链网络中的影响力和节点在OpenEuler社区中的关注度。针对供应链结构的评分区别于使用单一的研究指标，采用了复杂网络分析方法的复合指标进行衡量，包括度中心性算法、介数中心性算法以及PageRank算法等。针对社区信息的评分结合OpenEuler生态特点和谷歌Criticality Score标准进行计算，指标包括仓库创建时间、开发者数量、最近更新时间等内容，并且结合了OpenEuler操作系统开源许可证白名单的内容进行生态维度的重要性评估，提升了评分结果的可信度和正确性。