开源软件供应链漏洞威胁智能感知.pdfVIP

软件学报

ISSN

1000-9825,

CODEN

RUXUEWE-mail:

jos@

2025,36(2):511−536

[doi:

10.13328/ki.jos.007163]

[CSTR:

32375.14.jos.007163]

©中国科学院软件研究所版权所有.Tel:

+86-10

*

开源软件供应链漏洞威胁智能感知

11,21,21,3111

王丽敏,

吴敬征,

武延军,

芮志清,

罗天悦,

屈

晟,

杨牧天

1(中国科学院

软件研究所

智能软件研究中心,

北京

100190)

2(计算机科学国家重点实验室(中国科学院

软件研究所),

北京

100190)

3(中国科学院大学,

北京

100049)

通信作者:

吴敬征,

E-mail:

jingzheng08@

摘要:

开源软件的繁荣推动了软件领域的蓬勃发展,

也促使以开源软件为基础的供应链开发模式的形成.

开源软

件供应链本质上是个复杂的供应链拓扑网络,

由开源生态的关键元素及其关联关系构成,

其产品全球化等优势有

助于提高软件行业的开发效率.

然而,

开源软件供应链也存在依赖关系复杂、传播范围广泛、攻击面暴露扩大等

特点,

带来了新的安全风险.

现有的以安全漏洞、威胁情报为基础的安全管理虽然可以实现安全预警、预先防御,

但是由于漏洞威胁信息获取不及时、缺少攻击技术和缓解措施等信息,

严重影响了漏洞处理效率.

针对上述问题,

设计并实现一种针对开源软件供应链的漏洞威胁智能感知方法,

包括两部分:

1)构建CTI

(网络威胁情报)知识图

谱,

在其构建的过程中使用到相关技术,

可以实现安全情报的实时分析与处理,

尤其提出SecERNIE模型以及软件

包命名矩阵,

分别缓解漏洞威胁关联挖掘的问题和开源软件别名的问题.

2)漏洞风险信息推送,

以软件包命名矩阵

为基础,

构建软件包过滤规则,

实现开源系统漏洞实时过滤与推送.

通过实验验证所提方法的有效性和可用性.

实

验结果显示,

相较于NVD等传统漏洞平台,

本方法平均感知时间最高提前90.03天;

在操作系统软件覆盖率上提

升74.37%,

并利用SecERNIE模型实现63

492个CVE漏洞与攻击技术实体之间的关联关系映射.

特别地,

针对

openEuler操作系统,

可追踪的系统软件覆盖率达到92.76%,

并累计感知6

239个安全漏洞;

同时,

还发现openEuler

中891条漏洞与攻击的关联关系,

进而获取到相应的解决方案,

为漏洞处理提供了参考依据.

在真实攻击环境验证

2种典型的攻击场景,

证明所提方法在漏洞威胁感知方面的良好的效果.

关键词:

开源软件供应链;

漏洞威胁感知;

特征表示;

知识图谱;

风险推送

中图法分类号:

TP311

中文引用格式:

王丽敏,

吴敬征,

武延军,

芮志清,

罗天悦,

屈晟,

杨牧天.

开源软件供应链漏洞威胁智能感知.

软件学报,

2025,

36(2):

511–536.

/1000-9825/7163.htm

英文引用格式:

Wang

LM,

Wu

JZ,

Wu

YJ,

Rui

ZQ,

Luo

TY,

Qu

S,

Yang

MT.

Intelligent

Perception

for

Vulnerability

Threats

in

Open-

source

Software

Supply

Chain.

Ruan

Jian

Xue

Bao/Journal

of

Software,

2025,

36(2):

511–536

(in

Chinese).

/

1000-9825/7163.htm

IntelligentPerceptionforVulnerabilityThreatsinOpen-sourc