2025-02-03-2025-02-09论文阅读周报

阅读论文：

目前存在的问题：

• SBOM质量评估

An Empirical Study on Software Bill of Materials: Where We Stand and the Road Ahead

{2023}, {Xia B, Bi T, Xing Z, et al.}, {ICSE}

Xia B, Bi T, Xing Z, et al. An empirical study on software bill of materials: Where we stand and the road ahead[C]//2023 IEEE/ACM 45th International Conference on Software Engineering (ICSE). IEEE, 2023: 2630-2642.

Key Points

• SBOM

Summary

文章针对软件物料清单（SBOM）展开实证研究，通过访谈和调查从业者，揭示其在实践应用、工具支持方面的现状及问题，并提出未来发展方向与目标模型。

Research Objective(s)

从从业者视角探究 SBOM 的实践状态、工具支持情况以及主要关注点，为 SBOM 的进一步发展提供参考依据。

Background / Problem Statement

背景：软件供应链攻击频发，SBOM 对保障供应链安全至关重要。

问题：从业者对 SBOM 的认知和应用情况不明，现有研究缺乏软件工程视角且较为零散。

Method(s)

采用混合研究方法，先对 17 位从业者进行访谈，将访谈内容整理编码成 26 条陈述，再通过在线调查收集 65 位从业者的反馈。

Evaluation

评估：通过分析访谈和调查数据，计算各陈述的同意、不同意比例来评估。

Conclusion

SBOM 在实践、工具等方面存在诸多问题，未来需提升生成质量、明确应用价值、降低共享障碍。

开源软件供应链安全研究综述

纪守领, 王琴应, 陈安莹, 赵彬彬, 叶童, 张旭鸿, 吴敬征, 李昀, 尹建伟, 武延军. 开源软件供应链安全研 究综述. 软件学报, 2023, 34(3): 1330–1364. http://www.jos.org.cn/1000-9825/6717.htm

Key Points

• 关键点，看文章途中觉得很关键的词可以填写在此处

Summary

本文系统研究开源软件供应链安全，重新定义其模型，分析风险并总结威胁模型与安全趋势。梳理风险识别、加固防御、法律政策等方面研究现状，指出面临的挑战，如漏洞检测难、新风险识别技术匮乏等，进而提出未来研究方向，为后续研究提供全面参考。

Research Objective(s)

全面剖析开源软件供应链安全，明确其关键环节、威胁模型与安全趋势，梳理现有安全研究成果，找出研究中的不足，为后续研究提供系统性指导。

Background / Problem Statement

开源软件蓬勃发展，开发模式向开源协作转变，供应链结构复杂，安全风险上升。现有研究缺乏系统整理，且未充分考虑开源协作新模式下的新角色、环节及新兴场景，作者旨在填补这些空白，解决开源软件供应链的安全问题。

Method(s)

• 综合分析近 10 年攻击事件、现有研究成果，对开源软件供应链进行系统性研究。
• 基于前人对软件供应链的定义、威胁模型等研究，重新定义开源软件供应链模型，总结威胁模型。

Evaluation

• 未提及评估自身方法相关内容，未进行实验，无实验环境、数据及结果等。

Conclusion

开源软件供应链安全研究仍处初级阶段，面临软件依赖复杂、新风险识别技术匮乏等挑战，需从高效智能风险识别、新场景风险识别、新型加固防御、结合新兴技术管理等方向深入研究。

On the Way to SBOMs: Investigating Design Issues and Solutions in Practice

Bi T, Xia B, Xing Z, et al. On the way to sboms: Investigating design issues and solutions in practice[J]. ACM Transactions on Software Engineering and Methodology, 2024, 33(6): 1-25.

Summary

本文通过对 510 个 GitHub 项目中 4786 条 SBOM 相关讨论进行研究，分析了 SBOM 在实践中的应用情况。明确了 SBOM 生命周期的四个阶段及其特点，识别出主要的开发问题和对应的解决方案，并探讨了 SBOM 与软件开发各方面的关系，为 SBOM 的研究和应用提供了实践依据。

Research Objective(s)

全面理解 SBOM，包括其不同阶段、特征、面临的挑战和潜在解决方案，为软件开发中有效应用 SBOM 提供指导。

Background / Problem Statement

随着软件供应链攻击增多，SBOM 被视为增强软件供应链安全的关键措施。但现有研究在 SBOM 实际生产和使用的实证方面存在不足，缺乏对相关讨论的深入调查，本文旨在填补这些空白。

Method(s)

• 采用案例研究方法，对 GitHub 项目中 SBOM 相关讨论进行分析。通过标签筛选和内容筛选选取 510 个项目及 4786 条讨论。
• 基于前人研究，利用挖掘软件仓库的方法，从版本控制、问题追踪器等数据中获取信息。
• 对收集的数据进行定量和定性分析，定性数据采用扎根理论的自下而上编码方法，定量数据使用描述性统计分析。

Evaluation

通过分析数据来确定 SBOM 生命周期阶段、开发问题和解决方案，依据数据统计特征评估问题解决时间等。

Conclusion

明确了 SBOM 生命周期的四个阶段；识别出三类主要开发问题及对应解决方案；发现部分 SBOM 问题可能形成技术债务；强调了 SBOM 在多方面的重要性，如提高透明度、助力项目管理等。