An Empirically Grounded Reference Architecture for Software Supply Chain Metadata Management

{2024}, {Tran N K, Pallewatta S, Babar M A}, {EASE 2024}

Tran N K, Pallewatta S, Babar M A. An Empirically Grounded Reference Architecture for Software Supply Chain Metadata Management[C]//Proceedings of the 28th International Conference on Evaluation and Assessment in Software Engineering. 2024: 38-47.

Key Points

SSC
SBOM
SCM2
RA
[ ] 关键点，看文章途中觉得很关键的词可以填写在此处

Summary

本文聚焦软件供应链（SSC）安全问题，鉴于 SSC 攻击频发，提出构建软件供应链元数据管理系统（SCM2）以提升安全性。但构建 SCM2 面临框架术语繁杂、缺乏统一指导等难题，为此作者采用基于经验的设计方法，打造参考架构（RA）。该 RA 包含领域模型和架构蓝图，梳理了相关概念、生命周期和功能模块，并分析其可变性。通过将五个 SSC 安全工具架构映射到 RA 进行评估，发现当前 SCM2 实践以消费者驱动、聚焦 SBOM，签名和公证应用不足。RA 为构建 SCM2 提供了有力支撑，作者还计划基于此构建去中心化、多用户的 SCM2 生态系统。

Research Objective(s)

提出基于实证的软件供应链元数据管理参考架构（RA），为构建软件供应链元数据管理系统（SCM2）提供指导，助力企业应对软件供应链攻击风险。

Background / Problem Statement

研究背景：随着软件供应链（SSC）攻击的迅速增加，组织需要对其软件库存的整个 SSC 进行全面且值得信赖的可见性，以便及早发现风险，并在发生 SSC 攻击时快速识别受损资产。

问题：

由工具能力引起生成的SBOM的准确性和完整性
尚未建立 SSC 元数据和 SCM2 的综合域模型和架构蓝图

Method(s)

方法：

采用基于经验的参考架构（RA）设计方法（前人 Galster 和 Avgeriou 提出的），通过确定 RA 类型、设计策略、数据采集、架构构建、支持可变性和评估六个步骤，构建软件供应链元数据管理系统（SCM2）的参考架构。

Evaluation

评估：作者通过将五个突出的 SSC 安全工具的架构映射到所提出的 RA 上，分析其功能和架构与 RA 的契合度，以此评估自己的方法。

问题：未详细阐述架构映射过程中的量化指标；

可借鉴之处：这种基于实际工具映射评估架构的方式，能直观反映架构的实用性。

Conclusion

所提出的 RA 为从业者提供了构建 SCM2 的全面领域模型和架构蓝图。
当前 SCM2 实践呈现以消费者驱动、以 SBOM 为中心的特点。
基于 RA 可进一步开发软件套件，构建去中心化和多用户的 SCM2 生态系统。

Thought(s)

疑问：不同行业场景下，该 RA 是否能直接适用，是否需要进一步调整；思考如何增强架构映射评估的量化分析。

Notes

SCM2：软件供应链元数据管理系统（Software Supply Chain Metadata Management system），是一套用于执行软件供应链元数据文档生命周期活动（如创建、签名、分发和使用）的软件工具。
RA：参考架构（Reference Architecture），可视为软件系统的模板，为软件供应链元数据管理提供通用词汇、分类、架构愿景和构建模块，用于指导未来系统开发。
SOK：知识系统化（Systematisation of Knowledge），针对软件供应链元数据，能提供全面领域模型，促进架构师和利益相关者沟通，辅助选择合适元数据类型，还能给出 SCM2 系统架构蓝图。
SSC：软件供应链（Software Supply Chain），由一系列协调活动构成，通过参与者网络创建并向终端用户分发软件产品。
SBOM：软件物料清单（Software Bill of Material），是一种机器可读的清单，以嵌套形式列出软件包或产品内的组件，可采用 SPDX、CycloneDX 等格式，还能与 VEX 文档结合丰富内容

2025-01-27~2025-02-02论文阅读周报