数据驱动的开源软件供应链可维护性风险分析方法

doi:10.3969/j.issn.1000-5641.2022.05.008

华东师范大学学报（自然科学版） ›› 2022, Vol. 2022 ›› Issue (5): 90-99.doi: 10.3969/j.issn.1000-5641.2022.05.008

• 供应链平台评测方法与工具 • 上一篇下一篇

数据驱动的开源软件供应链可维护性风险分析方法

孙晴^1,², 梁冠宇^1,³, 武延军^1,³, 武斌^1,³, 田春岐^2,*(), 王伟⁴

1. 中科南京软件技术研究院, 南京　210000
2. 同济大学电子与信息工程学院, 上海　201804
3. 中国科学院软件研究所, 北京　100190
4. 华东师范大学数据科学与工程学院, 上海　200062

收稿日期:2022-07-07 出版日期:2022-09-25 发布日期:2022-09-26
通讯作者: 田春岐 E-mail:tianchunqi@tongji.edu.cn

Data-driven open source software supply chain maintenance risk analysis method

Qing SUN^1,², Guanyu LIANG^1,³, Yanjun WU^1,³, Bin WU^1,³, Chunqi TIAN^2,*(), Wei WANG⁴

1. Nanjing Institute of Software Technology, Nanjing　210000, China
2. College of Electronic and Information Engineering, Tongji University, Shanghai　201804, China
3. Institute of Software Chinese Academy of Science, Beijing　100190, China
4. School of Data Science and Engineering, East China Normal University, Shanghai　200062, China

Received:2022-07-07 Online:2022-09-25 Published:2022-09-26
Contact: Chunqi TIAN E-mail:tianchunqi@tongji.edu.cn

摘要/Abstract

摘要：

软件供应链的使用始终穿插在软件系统研发过程当中, 近年来关于软件供应链的安全事件频发, 软件供应链安全已然成为了一个全球性问题. 软件可维护性作为软件质量的重要属性之一, 反映了软件维护活动的难易程度. 软件供应链的开源趋势逐渐流行, 但对开源软件供应链的可维护性研究还处于起步阶段. 基于以上考虑, 本文结合传统软件维护性风险研究方法, 探究了开源软件维护性风险特有的分析视角, 并提出了一个开源软件供应链维护性质量模型. 该模型通过16种度量指标分别对团队健康、软件活跃度、依赖影响力、测试完整度、外部依赖度和可理解性等9种软件属性类进行度量以反映开源软件供应链的可维护性. 同时基于GitHub托管平台和npm (Node.js 标准的软件包管理器) 子生态数据 (包括软件信息、依赖关系、各个软件在开发过程中产生的行为数据等), 对同一时间内不同软件的可维护性指标进行对比计算, 验证了本文所提出方法的合理性. 因此, 使用本文所提出的可维护性质量模型可以有效地对开源软件供应链进行可维护性评估, 帮助和指导软件的设计与重构, 进而开发出更高质量的软件系统.

关键词: 开源软件供应链, 风险评估, 可维护性, 评估模型

Abstract:

The use of the software supply chain has been continuously interspersed throughout the software system development process. In recent years, security incidents related to the software supply chain have frequently occurred, and its security has become a global issue. Software maintainability, as one of the important attributes of software quality, reflects the difficulty of software maintenance activities. Although the trend of an open source software supply chain has gradually become popular in recent years, research into its maintainability remains extremely limited. Based on the above considerations and combined with a traditional research approach to software maintainability risk, this paper explores a unique analysis perspective regarding the maintainability risk of open source software and proposes a quality model of open source supply chain software maintainability. The model measures nine software attributes, including team health, activity, dependency influence, test integrity, external dependency, and understandability, based on 16 metrics for reflecting the maintainability of the open source software supply chain. At the same time, based on the GitHub hosting platform and npm sub-ecological data (this includes software information, dependencies, behavioral data generated during the development of each software, and so on), the maintainability indicators of different projects at the same time and within different time periods for the same project are compared and calculated, confirming the rationality of the proposed method. Using the model proposed herein, the quality maintainability of the open source software supply chain can be effectively evaluated, thereby guiding software design and reconstruction and the development of a higher quality software system.

Key words: open source software supply chain, risk evaluation, maintainability, evaluation models

中图分类号:

TP311.52

孙晴, 梁冠宇, 武延军, 武斌, 田春岐, 王伟. 数据驱动的开源软件供应链可维护性风险分析方法[J]. 华东师范大学学报（自然科学版）, 2022, 2022(5): 90-99.

Qing SUN, Guanyu LIANG, Yanjun WU, Bin WU, Chunqi TIAN, Wei WANG. Data-driven open source software supply chain maintenance risk analysis method[J]. Journal of East China Normal University(Natural Science), 2022, 2022(5): 90-99.

图/表 8

表1

表2

图1

图2

图3

图4

表3

表4

属性类	属性类权重	属性	属性权重
团队健康	4	成员数量	2
团队健康	4	关键成员数量	4
软件活跃度	4	社区活跃度	4
		依赖平均更新时间	2
		发布频率	1
依赖影响力	4	依赖影响力	1
测试完整度	4	包含测试	1
测试完整度	4	测试覆盖率	3
外部依赖度	2	外部依赖度	1
可理解性	2	包含文档	1
问题处理能力	2	未关闭的问题占所有问题的比例	4
		问题平均关闭时间	2
		问题首次响应平均时间	3
软件生态	1	存在商业支持	4
软件生态	1	存在基金会支持	2
发布形式	1	存在商业版	1

生态软件	已更新包数量/个	获取上游地址的数量/个	源码托管在GitHub上的软件数量/个
npm (Node.js 标准的软件包管理器)	1837544	1164699	1138252
composer (PHP 软件包管理器)	323680	314950	307523
pip (Python软件包管理器)	339151	242194	235720

评分	${\rm{ln} }\;A$	${\rm{ln} }\;{C}_{ {\rm{c} } }$	${ {\rm{ln} }}\;{C_ {\rm{cc} } }$
0	0	0	0
1	3	2.8	2.8
2	6	5.6	5.6
3	9	8.4	8.4
4	12	11.2	11.2
5	15	14.0	14.0

指标	webpack		babel
指标	实际计算结果	评分/分	实际计算结果	评分/分
成员数量	80 个	2.74	102 个	2.89
关键成员数量	11 个	2.00	20 个	2.50
团队健康	2.24 分		2.63 分
社区活跃度	4111.07 分	2.77	2848.31 分	2.65
依赖平均更新时间	216.22 h	1.64	320.89 h	1.39
发布频率	97 次	1.91	51 次	1.64
软件活跃度	2.32 分		2.15 分
依赖影响力	1.35 × 10^–3 分	4.27	7.05 × 10^–4 分	3.97
包含测试	1	5.00	1	5.00
测试覆盖率	0.38	1.90	0.91	4.55
测试完整度	2.68 分		4.66 分
外部依赖度	25.88 分	2.68	21.57 分	2.81
包含文档	1	5.00	1	5.00
未关闭的问题占所有问题的比例	0.17	4.15	0.27	3.65
问题平均关闭时间	453 h	1.60	340 h	1.76
问题首次响应平均时间	92 h	2.49	160 h	2.18
问题处理能力	3.03 分		2.74 分
存在商业支持	1	5.00	1	5.00
存在基金会支持	0	0	0	0
软件生态	3.33 分		3.33 分
存在商业版	0	0	0	0
可维护性评分	53.69 分		78.08分

1	梁冠宇, 武延军, 吴敬征, 等. 面向操作系统可靠性保障的开源软件供应链. 软件学报, 2020, 31 (10): 3056- 3073.
2	KHONDHU J, CAPILUPPI A, STOL K J. Is it all lost? A study of inactive open source projects [C]// Open Source Software: Quality Verification-9th IFIP WG 2.13 International Conference, OSS 2013. 2013: 61-79.
3	COELHO J, VALENTE M T, MILEN L, et al. Is this GitHub project maintained? Measuring the level of maintenance activity of open-source projects [EB/OL]. (2020-03-09)[2022-06-18]. https://arxiv.org/pdf/2003.04755v1.pdf.
4	杨德宇. 面向微服务架构的软件可维护性质量模型研究 [D]. 南京: 南京大学, 2020.
5	王伟, 周添一. 全球开源生态发展现状研究. 信息通信技术与政策, 2020, (5): 38- 44.
6	董国伟. 软件供应链安全现状分析与对策建议. 中国信息安全, 2021, (10): 34- 37.

数据驱动的开源软件供应链可维护性风险分析方法

Data-driven open source software supply chain maintenance risk analysis method

RichHTML

PDF

可视化

摘要/Abstract

引用本文

使用本文

图/表 8

参考文献 6

相关文章 7

编辑推荐

Metrics

本文评价

[1]	顾晨铭, 杨静, 李晔, 黄晔, 邬言, 尹国宇, 金芮合, 杨毅, 刘敏. 城市群新污染物多介质归趋、风险及模拟研究进展[J]. 华东师范大学学报（自然科学版）, 2024, 2024(6): 24-38.
[2]	杨静, 邬言, 李月, 刘霞, 杨丁业, 陈圆圆, 金芮合, 李晔, 刘敏. 上海农田土壤中六溴环十二烷的赋存特征及健康风险评估[J]. 华东师范大学学报（自然科学版）, 2024, 2024(6): 178-187.
[3]	杨丁业, 杨静, 金芮合, 丁方方, 张雨欣, 刘敏. 合肥市土壤中卤代阻燃剂的赋存特征及风险评估[J]. 华东师范大学学报（自然科学版）, 2024, 2024(6): 161-177.
[4]	崔铁峰, 李道季. 人体微纳塑料研究现状及存在的主要问题[J]. 华东师范大学学报（自然科学版）, 2024, 2024(6): 1-13.
[5]	李志福, 吴永红, 刘雪梅, 李丹. 基于稻虾共作系统水稻收割后水体水质及沉积物重金属风险评估[J]. 华东师范大学学报（自然科学版）, 2024, 2024(1): 122-133.
[6]	林逢春;陈静. 企业环境绩效评估指标体系及模糊综合指数评估模型[J]. 华东师范大学学报(自然科学版), 2006, 2006(6): 59-66.
[7]	陈立侨;李云凯;侯俊利;李恺;陈勇. 船舶压载水导致的生物入侵及其防治对策(特约综述)[J]. 华东师范大学学报(自然科学版), 2005, 2005(5/6): 40-48.