1.3 本书的组织框架

研究开源软件供应链的核心目标，是实现供应链有效管控，降低风险对系统的影响。因此，以开源软件供应链的定义、特征及面临的风险为基础，结合已有的工作，本书提出一种通用的开源软件供应链风险管控框架，如图1-4所示。

该框架包含以下4个主要的模块。

1.开源软件供应链模型构建模块

该模块需要面向输入的软件产品构建相应的开源软件供应链模型，并根据模型收集供应链系统运行过程中产生的状态信息。本书第4章将详细介绍模型构建所采用的方法。

2.开源软件供应链风险识别和管控模块

该模块接收模型信息作为输入，识别软件产品及其开源软件供应链中可能存在的风险，同时阐明风险判定的依据。本书第5章将详细介绍面向开源软件供应链的风险评估体系。

3.开源软件供应链关键软件识别模块

该模块基于输入的模型信息，评估并识别开源组件在软件产品的供应链中的关键程度，并以此作为风险处理优先级的排序依据，从而实现风险管控效率的优化。本书第6章将具体介绍开源软件供应链中关键软件的识别和评估方法。

4.供应链软件评估模块

该模块主要用于评估和筛选符合供应链“标准”的开源软件，若评估未通过，则开源软件需要继续在风险识别和管控模块进行风险监测和风险处理的内部循环，直至通过该模块的评估，供下游消费者放心使用。本书第7章将对供应链软件评估和筛选进行系统介绍。

为了让读者能够更好地理解上述内容，首先，本书在第2章对开源软件供应链的国际形势进行概述。其次，在第3章中对软件供应链相关的基础知识进行总结和介绍。最后，从实践的角度出发，本书的第8章会介绍开源软件供应链基础设施的建设方法，并在第9章对开源软件供应链的可视化呈现方法及典型应用案例进行介绍。从而实现理论与实践的有机结合。