原创 张千里 2025-04-10 08:45 中国香港
在数字化经济时代,软件测绘与电子取证面临着前所未有的挑战与机遇。
摘 要:
在数字经济时代,软件安全事件频发,给企业和用户带来巨大风险。现有的软件测绘和取证方法由于工具专用、数据异构、更新滞后,导致无法实现全面的端到端分析,数据整合和关联困难,实时性不足,分析深度受限,使企业难以及时、全面地掌握软件全生命周期的安全状况。
为此,本文提出一种创新方法:将数字孪生理念引入软件安全领域,构建完整的虚拟软件映射,实现全面测绘;基于事件模型方法,将软件设计、制造、运行形态的数据转化为结构化形式,奠定数字孪生的数据基础;结合大数据和云计算技术,实现软件数字孪生体的动态持续更新,支持实时分析和取证。
本文详细阐述了该方法的原理和流程,介绍了基于此研发的软件测绘系统OneSight。多个案例验证表明,该方法有效应对软件篡改、投毒、污染、反取证、漏洞等取证需求,能够对软件进行实时、准确、全面、无侵入的分析,为提升软件安全测绘和取证能力提供了新路径。
关键词:软件测绘,数字孪生,大数据,云计算,反取证对抗、电子取证
1、引言
1.1 研究背景与意义
随着数字经济蓬勃发展,软件成为现代经济的核心支柱,其重要性日益凸显[1][2][3]。与此同时,软件安全问题也日益严峻,软件篡改、投毒、污染等恶意行为屡见不鲜,给企业和用户带来巨大风险[4][5][6],软件也成为电子取证的重点分析对象[7][8]。
然而,当今软件组织和环境已经变得前所未有的复杂,给软件测绘带来了新的挑战。首先,敏捷开发方法的广泛采用加快了软件交付速度,但也导致版本迭代极为频繁,对历史全量数据的影响分析和溯源分析带来了巨大困难。其次,开源组件的大量使用虽然提高了开发效率,但链条加长也增加了新的安全风险。再者,容器技术的普及简化了应用程序的打包,但底层存储系统也变得更加复杂,文件分析更加困难。最后,软件越来越多部署在云平台上,分布式系统的监测、分析、审计和管控更加困难[9][10]。
面对软件日益复杂的形势,传统的测绘和取证方法亟需创新升级,以应对新挑战。政产学研各界高度重视这一领域,国家也将提升软件代码检测、组件供给和供应链安全能力,列为"十四五"时期提升产业基础保障的重点[2]。在当前形势下,加强对软件的安全防护,提升相关测绘和取证能力,对于维护软件安全、保障关键信息基础设施稳定运行以及保障数字经济健康发展至关重要。
1.2 术语说明
在上述研究背景下,本文对软件测绘、软件取证核心概念做出说明,并阐明它们之间的内在关联:
软件测绘(Software Mapping)是通过从软件基础工具内部采集相关数据,对软件的设计形态(如代码、配置)、制造形态(如制品库、发布包)和运行形态(如部署环境、运行数据)进行建模和再现,形成软件的整体画像。软件测绘形成的软件画像能够提供系统的全貌信息,这对于电子取证过程中的证据收集和分析至关重要,确保取证过程中数据的完整性和可靠性。
软件取证(Software Digital Forensics)是对软件安全事件进行分析勘察的过程,包括收集和保全与事件相关的所有证据数据,通过重建和分析证据数据,还原事件的全过程,为追查责任提供技术支撑。软件电子取证需要依赖详细的历史数据来还原事件发生的全过程,而这些数据正是通过软件测绘持续采集和保存的。
1.3 研究目标与创新点
本研究的主要目标是提出一种采用数字孪生思路的软件测绘与电子取证新方法,其核心创新点包括:1)将数字孪生理念应用于软件领域,通过建立软件的虚拟映射实现全生命周期的全面测绘;2)提出事件模型方法,从软件工具链内部提取结构化事件数据,为构建数字孪生体奠定基础;3)借助大数据和云计算技术,实现对软件数字孪生体的动态持续更新,支持实时准确的分析和取证。
2、现有方法的局限性与软件测绘需求分析
本章从工具和数据两个视角,并以影响最大、分析最彻底的log4j漏洞为例,阐明现有的软件测绘方法面临着诸多挑战,并总结软件测绘的核心需求。
2.1 现有软件测绘方法的局限性
从工具视角看,现有的软件测绘工具存在单点、离散、静态的局限性。首先,现有工具大多只能解决特定的代码、二进制或运行时分析的单点问题,无法实现全面的端到端分析。其次,不同工具间缺乏统一的数据模型,数据存储形式各异,导致数据提取和上下文关联分析困难。此外,大多数工具基于某个时间点的静态快照进行分析,难以实现动态影响分析和问题溯源,存在较大的安全空挡和预警盲区[10]。
从数据视角看,数据的采集、关联和运营,深层次的挑战更大。首先,软件系统底层存储数据的设计非常复杂,采集范围有限,无法全面把握软件的内在设计、制造和运行状态。其次,代码、二级制文件、运行时数据等大量非结构化数据,内容解析和可视化呈现难度大,影响了分析的效率和深度。最后,软件组成复杂,数据量呈指数上升趋势,面对实时性、性能、容量等越来越高运营要求,持续运营数据所需的投入持续上涨[11][12]。
以2021年的Log4j漏洞(CVE-2021-44228)为例,log4j被公认为有史以来影响范围最大的软件安全事件,引发了前所未有的重视,相关厂商、安全机构和研究人员投入大量资源对其进行了深入分析。但从软件测绘和取证的角度来看,现有分析方法难以对整个攻击链条进行完整勘察,直观表现在目前log4j高危版本依然在代码、二进制以及运行环境中分布很广,很难控制和根除[13][14]。
2.3 软件测绘的核心需求
综上分析,我们需要对软件完整的设计、制造和运行形态进行全面勘察,才能还原软件安全事件的全过程,收集并保全各环节的证据。核心需求包括以下几个方面:
首先,软件资产盘点方面,需要从软件设计、制造、运行三个形态的完整工具链中采集相关数据,包括代码库、流水线、依赖管理、发布包和运行环境等环节。只有在获取全面的数据基础上,才能构建软件的整体画像。
其次,软件非结构化数据的解析和关联上,需要对采集的原始数据进行建模和上下文数据关联,形成高度相关和具有丰富语义的数据集,为深入分析奠定基础。
第三,软件分析的持续运营方面,需要实现持续的监测、分析、修复和跟踪,不断感知软件中的安全风险,并高效修复和追踪,形成闭环的安全保障。
3. 基于数字孪生技术的新方法
为了满足这些需求,本章将介绍一种基于数字孪生技术的创新方法,我们首先介绍数字孪生技术引入软件领域的思路,然后提出事件模型方法作为实现软件数字孪生的具体手段,最后,我们将介绍基于事件模型方法开发的软件测绘系统OneSight,展示如何将理论付诸实践。
3.1 数字孪生技术在软件领域的应用
从软件测绘的核心需求,可以看出软件的无形性一直是软件工程和测绘取证分析面临的重大挑战,与物理产品不同,软件没有具体的实体形态,其存在形式是抽象的代码、数据和运行时状态。这种无形性使得软件的全面测绘和取证变得尤为困难。
数字孪生技术原本用于为物理实体创建虚拟映射,是“moving atom to bit”(原子到比特的映射);而在软件领域,本文认为软件的数字孪生是“moving bit to bit”(比特到比特的映射),即软件与实体的数字孪生殊途同归,最终达到的效果和目的是相同的——都是为了更好地理解、分析和优化所研究的对象。
将数字孪生技术引入软件领域,可满足前述的三个核心需求。资产盘点方面,数字孪生技术可以创建软件系统的完整虚拟映射;非结构化数据解析与关联方面,软件数字孪生聚焦软件本源(source of truth)的代码、二进制、运行时数据,对用户和流程无侵入;持续分析运营方面,数字孪生技术的实时同步特性使得持续监测、分析和更新软件状态成为可能。
通过引入数字孪生技术,我们可以构建一个全面、动态、可分析的软件虚拟映射,为解决软件测绘和取证的挑战提供了新的思路。然而,要将这一抽象概念落实到实际应用中,还需要具体的实现方法和技术支持。在接下来的章节中,我们将介绍如何通过事件模型方法来实现软件的数字孪生,以及基于此方法开发的OneSight系统。
3.2事件模型方法
本文采用事件驱动的建模原则,提出事件模型方法实现数字孪生,即记录软件资产变化事件,持续富化上下文,达到数字孪生的能力。这个原则是受跨界领域的启发,仿生学运动视力发现了生物在动态环境中具有只对变化事件敏感的特性,现实主义哲学提出了“存在即事件”思辨,二者启发可以设计出一种基于事件的方法来实现数字孪生,更准确地反映软件系统。
3.2.1 事件模型方法的原理
为了将软件的非结构化数据转为结构化的数据,本文提出采用事件模型作为所有软件数据的统一模型。在软件的事件模型中,资产包含属性数据、依赖数据、以及特征数据三类数据。属性数据与依赖数据形成依赖事件,属性数据与特征数据形成特征事件,供应链依赖事件和供应链特征事件共同构成供应链事件,参考图1。
3.2.2 事件模型方法的实现步骤
参考图2,事件模型方法的工作步骤如下:
1. 连接工具与访问资产:建立与软件开发生命周期各工具的连接,实现全链条数据访问。
2. 提取资产信息:
2.1 获取属性数据:收集各类资产(代码、软件包、流水线任务、运行环境)的特定属性。
2.2 提取依赖数据:解析依赖结构,识别直接和间接依赖关系。
2.3 获取特征数据:根据需求提取定制化特征,如代码调用关系、软件包内容分析等。
3. 生成事件列表:基于收集的信息,构建供应链依赖事件和特征事件列表。
4. 存储至大数据平台:将生成的事件列表存储,便于后续分析和决策支持。
3.2.3 事件模型方法的工作示例
以设计形态为代表,OneSight设计形态的数字孪生,核心就是以git库基础工具为核心对象,进行资产盘点、解析关联和持续运营,事件模型及其工作步骤可参见图3。
资产盘点时,OneSight逐层遍历项目库、提交、文件,得到每个文件以及文件的属性信息,属性信息可包括提交人员、提交事件、文件名、文件哈希码、项目名、修改的行号列表等。
非结构化文件的结构化解析和关联包括两部分,第一是从源代码文件、包管理文件的内容中解析出的依赖信息,可包括依赖的软件包名称、类、版本、哈希码等,每个依赖事件都要以文件属性信息作为上下文,便于关联分析和检索定位。第二是特征信息,可包括将源代码用antlr实体语法树进行结构化解析,在实体语法树基础上,以函数为单位,提取每对个函数的上级信息、函数的参数类型定义、函数内容作为特征事件。
持续运营根据git库的push信息,定期进行资产盘点更新,触发数据解析和关联产生新的事件记录,存入大数据库。
3.2.4 事件模型方法的优势
事件模型方法在理论基础、技术实现和实际应用方面展现出一定优势。在理论层面,该方法融合了数字孪生、仿生学和现实主义哲学的概念,有助于更准确地反映软件系统的动态特性。技术实现上,事件流结构能有效捕捉软件的变化过程,并将异构数据统一化,便于与现代数据处理技术结合。在应用方面,此方法提供了包含时间、人员、行为信息、资产哈希码等的完整记录,为软件测绘和电子取证提供了有价值的数据支持。
3.3 软件测绘系统OneSight实现
根据事件模型方法,本文实现了一个软件测绘系统OneSight,参考图4。基础工具链与软件供应链数字孪生体之间,通过建模与同步云计算平台,实现将工具链原始数据转换为事件数据,保存到大数据平台。通过可视化应用,实现具体分析场景。本论文聚焦新方法的思路和架构,限于篇幅,详细的技术实现细节请参考已经通过初步审查并公布的3个专利[15][16][17]。
3.3.1 核心功能:建模和同步
建模与同步云计算平台是整个系统的核心,负责解决两个核心问题。第一是具体软件数据的采集,综合基础工具的底层技术机理和“逆向工程”能力,将基础工具的内部数据转换为事件,这部分是3.2节的事件模型方法的具体实现,由各个工具对应的数据采集器完成。第二是作业的调度控制,采用云计算的Master-Worker模式(图5)自动扩缩容,支持作业的重试、改变特征后的全量数据重新提取、并发控制、资源控制等。
3.3.2 核心技术:逆向工程
代码、流水线、包管理平台、运行环境的数据采集器,工作步骤详见3.2.2节。应该注意worker的关键在于掌握基础软件的底层设计和存储原理,OneSight在实践过程中,研发的主要核心技术如表1。
表1. OneSight研发的主要数据采集、解析、分析技术
3.3.3 核心组件:开源为主
OneSight的建模及同步云计算平台,部署于Kubernetes集群中,使用了60计算节点的kubernetes集群,每节点16核cpu,64G内存。作业控制器采用开源的faktory,worker为部署于Kubernetes环境的云原生应用,是golang编写的pod。woker以接口或边车的形式加载了git客户端、antlr,maven、docker、arthas等第三方分析工具。大数据平台为商用大数据平台splunk及开源的Elasticsearch、OpenSearch、Doris、etcd。配置管理采用hashicorp开源的vault。可视化应用为商用大数据平台或开源的Grafana、Kibana、Dashboard等。
4、案例分析
本章介绍OneSight在软件实时数字孪生体构建、风险分析及取证中的应用案例。
4.1 设计形态案例
在软件设计环节,确保代码的完整性和可信度至关重要,软件测绘技术可以用于发现源代码篡改和Git库反取证等风险。
4.1.1案例1:源代码篡改以符合漏洞利用条件
对于一些高危漏洞如SpelExpression、Spring4Shell和FastJson等,它们的利用条件往往很苛刻。软件测绘技术可以将这些漏洞利用条件转化为可查询的语义特征,在语义层面对源代码进行排查,准确发现是否存在代码篡改以满足漏洞利用条件。
具体做法是:首先使用k8s,将2千多个项目并行地克隆到多个pod上;在pod worker上,从git内部文件中提取分支、提交、文件存储等元数据信息,并提取源代码文件内容进行ANTLR语法树解析;接下来,将解析结果转换为大数据记录,其中一个函数特征(包括方法名、方法内容、方法上级、注解、类型、参数、参数注解、层级信息)加上文件属性信息就是一条记录;最后,用户可直接查询这些大数据记录。
这项技术适用性强,可通过利用条件的查询,进行影响分析,缩小需要变更上线的范围,也可监测隐蔽性强的打开漏洞利用条件的恶意代码引入情况。
4.1.2案例2:底层git库篡改以反取证
Git库因其内容寻址的特性被认为非常可靠,但也正因如此,部分攻击者会试图篡改Git提交记录进行反取证。软件测绘技术通过持续监控Git库变更并进行哈希对比分析,能够发现Git库是否遭到篡改。
OneSight每15分钟就会自动扫描Gitlab中有变更的Git库,并结合这期间的推送信息,对所有发生变更的提交记录进行盘点、解析和关联分析。具体来说,OneSight会统计每个提交时间点对应的提交数量、对比同一时间点的文件列表哈希值变化情况,并与推送记录中修改的提交数量进行对比。通过这一系列分析,就能高效地发现是否有人恶意篡改了底层git库的提交记录。
有些项目组为了减小代码库的体积,也可能会执行过删除git库中的二进制文件的正常操作。OneSight都能够准确地将这类操作进行准确报警,OneSight是发现git库反取证行为的有力工具。
4.2 制造形态案例
软件构建发布环节也存在诸多安全隐患,软件测绘技术可以主动发现如软件供应链投毒、生产线污染和制品库反取证等风险。
4.2.1 案例3:恶意投毒的危险应对
软件供应链投毒是一种隐蔽且危害极大的攻击手段。软件测绘技术通过监控制品库变动并记录制品元数据,可以快速追踪某一制品的变更过程,发现可疑投毒行为。
OneSight每小时扫描制品库变动、每日全量扫描制品库,登记制品变动事件。可以直接查询colors、xz-utils等已被投毒制品各个版本的引入者、引入事件、下载者、下载时间、下载次数等信息,及时响应。
应注意供应链投毒不仅存在于制品库,还需结合设计形态和运行形态数据进行多维度分析。
4.2.2 案例4:生产线污染的危险应对
生产线一旦被污染,将直接影响软件产品的质量。软件测绘技术可以自动解析软件包资产并比对其依赖库版本,一旦发现未经授权的依赖,就会触发报警,从而防范生产线被污染的风险。
OneSight具体做法是:首先将待发布的软件包上传至制品库,OneSight会自动识别解析软件包资产,获取其依赖关系;接着对所有依赖包进行溯源鉴定,将其哈希值与官方二方库、三方库进行比对,一旦发现存在未知来源或未授权的依赖包,就会触发报警并通知工程师排查。
某公司曾经有一些技术栈的构建环节比较复杂,为简化流程而开放了生产线依赖缓存的写权限。OneSight比对发现,确实存在一些未经授权的依赖包被直接写入缓存。该案例验证了OneSight对生产线污染能够监控预警,并有效防范了潜在的软件供应链风险。
4.2.3 案例5:制品库版本覆盖以反取证
攻击者可能会覆盖制品库中依赖库的版本,从而掩盖生产线污染行为。软件测绘技术通过记录文件哈希值历史变动,能够发现版本覆盖反取证的行为,并及时预警。
OneSight实现了事件模型方法,能够记录所有文件的历史变动信息。通过分析同一文件名的哈希值个数,就可以发现反取证的覆盖、篡改行为。同时也可以对非预期的版本覆盖进行预警。
某公司一次研发环境存储崩溃,导致所有数据丢失。从老数据中心恢复数据时,是相差近1个月的数据。故障临时应急期间,共发布了200个二方库、制品和容器镜像,有10起为版本覆盖,其中一个二方库在应急期间被测试人员发布,覆盖了正式版本,未根据OneSight报警进行处置,最终导致了一起线上事件。
4.3 运行形态信息
即使软件开发过程未出现安全漏洞,一旦运行时遭受攻击利用,也将产生严重后果。软件测绘通过分析运行时数据,能够更直接、高效地发现漏洞利用情况。
4.3.1案例6:log4j漏洞利用发现
以Log4j漏洞为例,OneSight使用了Arthas这一Java诊断工具,定期获取所有java进程的的火焰图,火焰图实际上是一个SVG格式的矢量图像,其文件内容由一系列XML标签描述。使用XML/SVG解析库或工具,对SVG文件进行解析,获取其中蕴含的内容和结构信息。检索解析后类、函数等调用链特征信息,可直接判断漏洞是否已经被攻击者利用,如图6。
在实际应用中,OneSight结合了Java代码分析、pom.xml解析、制品库分析、发布包二进制扫描、以及上述的运行时分析,实现了log4j高危漏洞的持续治理[15]。
5、OneSight效果评估
OneSight作为一款基于数字孪生技术的软件安全分析产品,在业务、数据、应用和技术四个领域都展现出了显著的优势。以下将通过表格形式详细评估OneSight在这四个方面的效果,突出其在支持复杂软件开发场景、数据处理与分析、应用赋能及技术实现等方面的卓越表现(参见表2)。
表2. OneSight效果评估
领域 | 评估指标 | 效果描述 |
业务 | 支持复杂软件开发场景 | • 覆盖软件全形态(设计、制造、运行) • 提供全面的软件分析能力 |
无侵入性 | • 对现有人员工作体验无侵入 • 对现有开发流程无影响 • 通过挖掘工具链底层数据实现分析 | |
全面覆盖 | • 分析源码、三方库、二方库、镜像及运行环境等多维数据 | |
数据 | 统一数据模型 | • 基于事件模型方法 • 实现软件所有形态的统一数据采集和关联 |
大规模数据处理 | • 累积1亿多条记录,1106个字段,持续扩展中 | |
实时更新 | • 每15分钟扫描Git库变更,每小时扫描制品库变动,每日全量扫描制品库 | |
关联分析能力 | • 支持统一入库和关联检索 • 实现从宏观到微观的多层次分析 | |
应用 | 开发人员赋能 | • 快速发现需更新的版本和代码文件 |
架构师赋能 | • 支持类自然语言方式分析潜在威胁 | |
安全人员赋能 | • 协助发现更多漏洞线索 | |
业务分析赋能 | • 支持评估软件升级影响 | |
衍生分析能力 | • 支持疫情影响、产能趋势、中间件使用、技术栈变迁等分析 | |
技术 | 云原生架构 | • 采用云原生开发 • 部署在云计算环境 |
高性能 | • 60 worker,集群峰值:863 CPU核、1GB/s流量、130GB内存 | |
快速解析能力 | • 4小时内完成2000个git项目、240GB源码解析 | |
大数据技术应用 | • 覆盖10万个开源软件包依赖关系 • 日增约1万个软件包分析 | |
精细化分析 | • 分析版本、镜像、软件包、代码提交、文件、行、语义、编译、运行时加载等 • 建立全面关联关系 |
6、总结与展望
在数字化经济时代,软件测绘与电子取证面临着前所未有的挑战与机遇。本文展示的OneSight系统,借鉴数字孪生技术,采用创新的事件模型方法进行软件测绘和取证。
OneSight的探索及其典型案例分析,充分体现了软件研发、软件测绘、软件取证在数字化时代的三个新特征。第一,技术环境和软件研发过程从线性串接转为网状互联,不存在统一的、集中的控制系统,源码库、依赖库、流水线、镜像库、运行环境都可以成为风险入口,“左移”基础上,还需要全局管理。第二,软件及其过程是可以通过数字孪生测绘和管控,OneSight系统使得软件及其过程变得透明化,通过深入挖掘基础工具的底层数据,结合云计算和大数据的能力,OneSight能够捕捉到海量的高频数据,使得原本“创造性”和“创作型”的软件工作变得更加清晰和可追踪。第三,OneSight体现了数字化产品“软件定义”的特性,它不仅服务于更广泛的用户群体,还能够催生新的场景、业态和体验。软件测绘及其衍生的宏观、微观、行为分析场景,为实证软件工程研究提供了丰富的素材,成为软件产业中数据价值发挥的一个范例。
软件测绘和取证作为软件研发数字化的缩影,预示着数字化对软件行业、网络安全、电子取证行业的深远影响。OneSight系统通过采用云计算、大数据、数字孪生等新型技术,不仅解决了长期存在的建模和运营难题,提供了更优的效果和体验,而且促进了业务、研发、运营、数字化等领域新理论、新工具和新模式的形成。本文提供了三个具备可操作步骤、可依照开发的专利参考,后续计划对系统进行开源,以期在更大的技术社群中,持续优化、完善和扩展OneSight的应用场景。展望未来,OneSight系统有望在更广泛的领域内发挥其潜力,推动软件产业数字化的持续创新和发展。
参考文献:
[1] 国务院. “十四五”数字经济发展规划. http://www.gov.cn/zhengce/content/2022-01/12/content_5667817.htm. 2021
[2] 工业和信息化部. “十四五”软件和信息技术服务业发展规划. http://www.gov.cn/zhengce/zhengceku/2021-12/01/content_5655205.htm. 2021
[3]国家保密科技测评中心. GB∕T 36637-2018《信息安全技术 ICT 供应链安全风险管理指南》标准解读. http://www.gjbmj.gov. cn/n1/2020/0115/c411145-31550085.html. 2020
[4] 何熙巽,张玉清,刘奇旭. 软件供应链安全综述. 信息安全学报. 2020, 5(1), 57-73
[5] Ying Wang, Bihuan Chen, Kaifeng Huang, Bowen Shi, Congying Xu, Xin Peng, Yijian Wu and Yang Liu. An Empirical Study of Usages, Updates and Risks of Third-Party Libraries in Java Projects. In Proceedings of the 36th IEEE International Conference on Software Maintenance and Evolution. 2020
[6]Sonartype. 9th annual state of the software supply chain. https://www.sonatype.com/state-of-the-software-supply-chain/introduction. 2023
[7]Pasquale, L., Alrajeh, D., Peersman, C., Tun, T., Nuseibeh, B., & Rashid, A. (2018). Towards forensic-ready software systems. In Proceedings of the 40th International Conference on Software Engineering: New Ideas and Emerging Results (ICSE-NIER '18), May 2018, Pages 9–12. https://doi.org/10.1145/3183399.3183426
[8]Ohm, M., Sykosch, A., & Meier, M. (2020). Towards detection of software supply chain attacks by forensic artifacts. In Proceedings of the 15th International Conference on Availability, Reliability and Security (ARES '20), August 2020, Article No. 65, Pages 1–6. https://doi.org/10.1145/3407023.3409183
[9]Ouni, A., Saidani, I., Alomar, E., & Mkaouer, M. W. (2023). An Empirical Study on Continuous Integration Trends, Topics and Challenges in Stack Overflow. In Proceedings of the 27th International Conference on Evaluation and Assessment in Software Engineering (EASE '23) (pp. 141-151). https://doi.org/10.1145/3593434.3593485
[10] Kim Lewandowski, Mark Lodato (GOOGLE). Introducing SLSA, an End-to-End Framework for Supply Chain Integrity, https://security.googleblog.com/2021/06/introducing-slsa-end-to-end-framework.html
[11]Charalampidou, S., Ampatzoglou, A., Karountzos, E., & Avgeriou, P. (2020). Empirical studies on software traceability: A mapping study. Journal of Software: Evolution and Process, 32(8), e2294. https://doi.org/10.1002/smr.2294
[12] Henry, W. C., & Peterson, G. L. (2020). Exploring Provenance Needs in Software Reverse Engineering. In 2020 13th International Conference on Systematic Approaches to Digital Forensic Engineering (SADFE) (pp. 1-6). IEEE. https://doi.org/10.1109/SADFE51007.2020.00008
[13] Shriyal, S., & Patil, S. (2023). Research on Log4j vulnerability and its severity. Research Square. https://doi.org/10.21203/rs.3.rs-3046677/v1
[14] checkpoint company. a deep dive into a real-life log4j exploitation. https://blog.checkpoint.com/2021/12/14/a-deep-dive-into-a-real-life-log4j-exploitation/ . 2021
[15]张千里,刘智勇,谢恒,基于数字孪生的软件供应链分析系统及构建方法,国家知识产权局,专利号202211428158.X,2022
[16]张千里,刘智勇,应大卫,一种基于大数据和云计算的容器镜像血缘智能分析系统,国家知识产权局,专利号202311717603.9,2023
[17]张千里,金越成,刘智勇,应大卫,一种软件组件依赖关系图谱智能绘制系统,国家知识产权局,专利号20231719133.X,2023
作者介绍
张千里,任职于中金所技术公司,浙大计算机博士。专注探索软件产业本身的数字化,主要运用逆向工程和再工程方法,开展软件逆向分析与跨学科建模,实现软件设计、制造和运行三种形态的数字孪生。个人公众号为“逆熵重生”。
