开源软件供应链

开源软件供应链是指开源软件在开发和运行过程中涉及的所有开源软件的上游社区、源码包、二进制包、第三方组件分发市场、应用软件分发市场，以及开发者和维护者、社区、基金会等，按照依赖、组合等形成的供应关系网络。相较于传统软件供应链，开源软件供应链随着供应层级不断加深，其规模不断扩大，导致针对上游的攻击将更难被发现、影响范围更广。本书从开源软件供应链的定义开始，逐步讲解开源供应链模型、开源供应链评估体系、关键节点识别与维护等开源软件供应链的关键内容。