密码学报ISSN2095-7025CN10-1195/TNJournalofCryptologicResearch,2023,10(5):966–985©《密码学报》编辑部版权所有.E-mail:jcr@cacrnet.org.cnhttp://www.jcr.cacrnet.org.cnTel/Fax:+86-10-82789618新环境下的密码应用专栏开源密码软件供应链安全综述*荣景峰1,2,刘新荣2,3,贾培养2,3,葛平原1,2,陈颖1,2,司喜绢2,孙承一2,张玉清1,2,31.海南大学网络空间安全学院,海口5702282.国家计算机网络入侵防范中心(中国科学院大学),北京1014083.西安电子科技大学网络与信息安全学院,西安710126通信作者:张玉清,E-mail:zhangyq@nipc.org.cn摘要:本文是首篇对开源密码软件供应链安全问题进行调研、分析和总结的综述文章.首先,通过梳理和分析关于开源软件供应链、加密算法等相关领域文献,探讨了开源软件供应链与开源密码软件供应链的差异,明确了开源密码软件供应链的研究范围;其次,以密码软件供应链典型安全事件作为切入点,构建了开源密码软件供应链风险模型;再次,针对梳理出来的各类安全风险,横向参考了实体供应链风险管理成熟案例以及开源密码软件的风险应对措施,总结了开源密码软件供应链的安全风险防控手段.最后,指出了开源密码软件供应链领域所面临的挑战和机遇,并指出了未来的研究方向.关键词:开源密码软件供应链;密码实现;软件供应链;开源软件中图分类号:TP309.7文献标识码:ADOI:10.13868/j.cnki.jcr.000651中文引用格式:荣景峰,刘新荣,贾培养,葛平原,陈颖,司喜绢,孙承一,张玉清.开源密码软件供应链安全综述[J].密码学报,2023,10(5):966–985.[DOI:10.13868/j.cnki.jcr.000651]英文引用格式:RONGJF,LIUXR,JIAPY,GEPY,CHENY,SIXJ,SUNCY,ZHANGYQ.Asurveyofopensourcecryptographicsoftwaresupplychainsecurity[J].JournalofCryptologicResearch,2023,10(5):966–985.[DOI:10.13868/j.cnki.jcr.000651]ASurveyofOpenSourceCryptographicSoftwareSupplyChainSecurityRONGJing-Feng1,2,LIUXin-Rong2,3,JIAPei-Yang2,3,GEPing-Yuan1,2,CHENYing1,2,SIXi-Juan2,SUNCheng-Yi2,ZHANGYu-Qing1,2,31.CollegeofCyberspaceSecurity,HainanUniversity,Haikou570228,China2.NationalComputerNetworkIntrusionProtectionCenter(UniversityofChineseAcademyofSciences),Beijing101408,China3.SchoolofCyberEngineering,XidianUniversity,Xi’an710126,ChinaCorrespondingauthor:ZHANGYu-Qing,E-mail:zhangyq@nipc.org.cn*基金项目:国家重点研发计划(2023QY1202);国家自然...
