開源軟件供應(yīng)鏈?zhǔn)侵搁_源軟件在開發(fā)和運(yùn)行過(guò)程中涉及的所有開源軟件的上游社區(qū)、源碼包、二進(jìn)制包、第三方組件分發(fā)市場(chǎng)、應(yīng)用軟件分發(fā)市場(chǎng)，以及開發(fā)者和維護(hù)者、社區(qū)、基金會(huì)等，按照依賴、組合等形成的供應(yīng)關(guān)系網(wǎng)絡(luò)。相較于傳統(tǒng)軟件供應(yīng)鏈，開源軟件供應(yīng)鏈隨著供應(yīng)層級(jí)不斷加深，其規(guī)模不斷擴(kuò)大，導(dǎo)致針對(duì)上游的攻擊將更難被發(fā)現(xiàn)、影響范圍更廣。本書從開源軟件供應(yīng)鏈的定義開始，逐步講解開源供應(yīng)鏈模型、開源供應(yīng)鏈評(píng)估體系、關(guān)鍵節(jié)點(diǎn)識(shí)別與維護(hù)等開源軟件供應(yīng)鏈的關(guān)鍵內(nèi)容。