[博士论文促进] 基于研发过程行为数据的软件交付效能提升与风险评估方法 @bifenglin

[will-ww]

Description

结合 10 月 4 日与 @bifenglin 碰头讨论的情况，有如下几个较为有效的价值输入：

1、前期论文的工作情况

• 在投一篇“协作机器人识别与分类”的小论文
• 在做一篇“协作机器人能力分类图谱与能力画像”的小论文

得到的一些启示包括：

• 通过研究 GitHub 上开源协作机器人的行为数据，系统构建开源协作机器人的能力图谱
• 将该类问题研究定位为：用数据科学中的方法与技术，研究软件工程中的前沿问题
• 通过对开源协作机器人的能力图谱研究，能够深入掌握该研究领域的总体现状，并进行系统梳理，为后续工作打好基础

2、上述工作放在大论文背景下的启示

回顾大论文的题目与主要内容《基于研发过程行为数据的软件交付效能提升与风险评估方法》

• 研究内容一：软件交付过程行为数据集的采集、探索与构建
• 研究内容二：软件交付的核心步骤与自动化工具识别
• 研究内容三：软件项目的安全合规风险模型
• 研究内容四：面向软件交付的研发管理元机器人实现

可以构建研究路线的整体逻辑框架： （1）研究开源协作机器人的行为（识别、分类、能力画像） （2）定义软件交付效能提升及其量化评估指标体系（例如开源社区治理与运营标准、DORA 指标） （3）实现基于开源协作机器人的软件交付效能评估方法（例如协作网络数据、协作工作流数据等） （4）基于交付效能评估指标体系，设计完整的 Benchmark 体系，给出若干协作机器人的设计、开发与使用原则

同理，软件供应链的安全合规风险评估工作类似： （1）系统研究安全合规风险（定义、现状、分类体系等） （2）设计安全合规风险评估模型与量化评估指标体系（例如可维护性等指标） （3）实现安全合规风险量化评估方法（基于依赖网络数据等） （4）基于安全合规风险指标体系，设计完整的 Benchmark 体系，给出若干协作机器人的设计、开发与使用原则

3、其他相关输入

正好近期 LF 的一篇“软件消费者：供应链的威胁建模”的文章，给出了软件供应链方面的威胁模型，值得学习与参考：

该文章的参考文献还给出了极具价值的两篇文章，同样给出了一个系统的分类体系：

• Backstabber’s Knife Collection A Review of Open Source Software Supply Chain Attacks.pdf
• Taxonomy of Attacks on Open-Source Software Supply Chains.pdf

[bifenglin]

关于供应链、我这边遇见了一个不错的输入，为了解决供应链整个环节会被攻击的问题，他们设计了in-toto框架，通过加密方式确保了软件供应链的完整性 。网站有 https://in-toto.io. 我在想是不是跟着他们的工作往后做。 相关论文：torres-toto-usenix19_副本.pdf

[bifenglin]

关于协作机器人能力分类图谱与能力画像，我简单搜索了下关键词：用户画像、profile 目前看到的相关论文都不是计算机类别的。所以我认为往用户画像靠感觉发不出级别较高的文章。

[bifenglin]

第二篇论文的的核心贡献和创新点： 鉴于目前开源软件工程领域中机器人所面临的一系列洞察机器人行为和开发挑战，显得更加重要和必要进行更加精细化的评估研究。我们的贡献可以帮助开源社区管理人员和机器人开发者系统、全面的了解目前在开源社区中机器人可以完成哪些工作。并且通过深入分析机器人在实际应用环境中的表现和影响，同时也能帮助开源社区更好地洞察机器人对开源社区的影响，并且为开源软件机器人的使用和设计提供建议。 Our work contributes to the state-of-the-art by (i) 提出了一个完整的基于机器人行为模式的分类体系(ii) 首次构建了一个机器人功能分类器，基于经验知识优化了模型，使得机器人分类器在机器人多标签分类任务中具备良好的表现。(iii) 我们细粒度的讨论了其对OSS社区的影响，提出不同类别的机器人的设计、开发与使用原则。

[bifenglin]

关于供应链、我这边遇见了一个不错的输入，为了解决供应链整个环节会被攻击的问题，他们设计了in-toto框架，通过加密方式确保了软件供应链的完整性 。网站有 https://in-toto.io. 我在想是不是跟着他们的工作往后做。 相关论文：torres-toto-usenix19_副本.pdf

最近突然想到，是否可以模仿in-toto，我们做一个基于区块链的开源软件供应链安全机制作为一个创新点？然后设置一整套加密追溯供应链的机制。