2025 | Buch

Managing Software Supply Chains

Theory and Practice

verfasst von: Ying Wang, Shing-Chi Cheung, Hai Yu, Zhiliang Zhu

Verlag: Springer Nature Singapore

Enthalten in: Springer Professional "Wirtschaft+Technik" , Springer Professional "Technik" , Springer Professional "Wirtschaft"

Inhaltsverzeichnis

Über dieses Buch

Open-Source-Software-Lieferketten üben erheblichen Einfluss in der Softwarebranche aus und ziehen beträchtliches Interesse von Unternehmen, Forschern und politischen Entscheidungsträgern auf sich. Die Nutzung von Bibliotheken von Drittanbietern zur Erstellung von Softwareanwendungen ist eine gängige Praxis, die auf Kosteneinsparungen und die Verbesserung der Softwarequalität abzielt. Allerdings führt eine starke Abhängigkeit von externen Bibliotheken häufig zu einem Zustand der "Abhängigkeitshölle", der durch Probleme wie Inkompatibilitäten, widersprüchliche Versionen, aufgeblähte Abhängigkeiten und die Einbeziehung verletzlicher Bibliotheksversionen gekennzeichnet ist. Trotz umfangreicher Forschungsarbeiten zum Software-Abhängigkeitsmanagement und zur Entwicklung von Software-Lieferketten bleiben Fragen hinsichtlich der Unterschiede bei den Abhängigkeitsherausforderungen in Programmiersprachen-Ökosystemen bestehen und wie das Abhängigkeitsphänomen am besten aus einer ökosystemweiten Perspektive angegangen werden kann. Das Ziel dieses Buches besteht darin, (1) eine umfassende Literaturübersicht über Software-Lieferketten, (2) Diskussionen über die Modellierung von Software-Lieferketten und die Analyse ihres evolutionären Verhaltens anzubieten, (3) Strategien auf Ökosystemebene zur Diagnose verschiedener Abhängigkeitsprobleme und zur Automatisierung der Problemlösung mittels Kosten-Nutzen-Analyse und (4) die Bereitstellung eines Toolkits und Datensatzes zur Unterstützung zukünftiger Forschung und zur Unterstützung von Praktikern bei der Bewältigung der Herausforderungen des Abhängigkeitsmanagements. Die in diesem Buch skizzierten Methoden wurden bereits in hochrangigen Konferenzen und Fachzeitschriften vorgestellt, wobei einige Techniken offiziell in die Produkte der Microsoft Corporation und Huawei Technologies Co Ltd. integriert wurden. Dieses Buch soll den Lesern ein solides Verständnis der Grundlagen der Softwarelieferkette und praktische Anleitungen zur Umsetzung von Theorie und Techniken im industriellen Umfeld der realen Welt vermitteln. Das Buch richtet sich in erster Linie an Softwareentwickler und Studenten mit akademischem Hintergrund, die sich für Abhängigkeitsmanagement für Bibliotheken von Drittanbietern, Qualitätssicherung für Software-Lieferketten und die Entwicklung von Open-Source-Software-Ökosystemen interessieren. Es wird auch für Praktiker interessant sein, einschließlich Software-Ingenieure, Qualitätssicherungsfachleute und Software-Manager sowie allgemeine Leser. Alle werden von unseren systematischen Studien über das Abhängigkeitsphänomen Hölle in verschiedenen Programmiersprachen-Gemeinschaften und den damit verbundenen wertvollen Artefakten profitieren.

Mit KI übersetzt

Über dieses Buch

Open-source software supply chains wield significant influence in the software industry, drawing substantial interest from enterprises, researchers, and policymakers. Leveraging third-party libraries to build software applications is a common practice aimed at cost savings and software quality enhancement. However, heavy reliance on external libraries often leads to a state of “dependency hell”, marked by issues like incompatibilities, conflicting versions, bloated dependencies, and the inclusion of vulnerable library versions. Despite extensive research on software dependency management and the evolution of software supply chains, questions linger regarding the variances in dependency challenges across programming language ecosystems and how best to address the dependency hell phenomenon from an ecosystem-wide perspective.

The aim of this book is to offer: (1) a comprehensive literature review on software supply chains, (2) discussions on modeling software supply chains and analyzing their evolutionary behaviors, (3) ecosystem-level strategies for diagnosing various dependency issues and automating problem resolution with cost-benefit analysis, and (4) provision of a toolkit and datasets to support future research and assist practitioners in addressing the challenges of dependency management. The methodologies outlined in this book have been previously presented in top-tier conferences and journals, with some techniques officially integrated into products by Microsoft Corporation and Huawei Technologies Co Ltd. This book is designed to provide readers with a solid understanding of software supply chain fundamentals and practical guidance on implementing theory and techniques in real-world industrial settings.

The book is chiefly intended for software engineering researchers and students with an academic background who are interested in learning about dependency management for third-party libraries, quality assurance for software supply chains, and the evolution of open-source software ecosystems. It will also be of interest to practitioners, including software engineers, quality assurance professionals, and software managers, as well as general readers. All will benefit from our systematic studies on the dependency hell phenomenon in various programming language communities and valuable associated artifacts.

Inhaltsverzeichnis

Frontmatter

An Overview of Software Supply Chain Research

Frontmatter

Chapter 1. Introducing Software Supply Chain

Abstract

The significance of researching the open-source software supply chain lies in gaining a deep understanding and effectively managing dependency relationships, evolution trends, security, and sustainability in software development. This ultimately enhances the success rate, quality, and security of software projects. This introductory chapter first introduces four fundamental concepts related to the management and maintenance of the open-source software supply chain. Next, we comprehensively collected authoritative journal papers and conference papers from the past two decades (2001–2024) in the field, covering empirical studies, case studies, metric methods and analysis frameworks, techniques, tools, and other aspects. We provide an overview of the research status and trends in the open-source software supply chain by analyzing fundamental information such as publication dates, publishing journals, and the types of major contributions found in each paper.