影響開源安全軟件下載量的工程因素研究

關琳

摘 要：下載量是衡量開源安全軟件質量的重要標志。研究下載量與工程因素間的關系，發現影響下載量的工程因素，對于開源安全軟件發展具有重要意義。以世界最大的開源軟件項目庫為數據源，針對開源安全軟件的下載量與團隊規模和研發事件數的關系展開定量分析，發現開源安全軟件下載量與軟件研發團隊成員數呈弱相關關系，與軟件研發事件數呈中等強度相關關系。該研究結果可為開源安全軟件良性發展、提升軟件競爭力提供參考。

關鍵詞：開源安全軟件;定量分析;工程屬性

DOI：10. 11907/rjdk. 192342 開放科學（資源服務）標識碼（OSID）：

中圖分類號：TP301文獻標識碼：A 文章編號：11672-7800（2020）008-0076-04

Abstract：Open-source security software downloads is an important symbol for its success. It is of great significance to analyze relationships between project factors and open source security software downloads， and find out the project factors affecting downloads for the development of open-source security software. Based on the biggest database of open-source security software projects， this paper focuses on the strength of the relationships between the number of open source security software downloads versus the software project development team size and the events. By quantitative analysis， this research identifies a weak relationship between the open source security software development project team size and the number of downloads and a moderate relationship between the open source security development project events and the number of downloads， which provides some advices on health development.

Key Words：open source security software;quantitative analysis;project attributes

0 引言

開源軟件（Open Source Software）是 “開放源代碼軟件”的簡稱[1]。開發者通常在開源社區與興趣相投者聚在一起，個人決定開發進度和貢獻，無需承擔任何商業責任。相比于代碼不易獲得的閉源軟件（Closed source software），開源軟件具備很多優勢，如查詢源代碼、對源代碼進行修改后可依照授權再次發布、對于任何個人和團體一視同仁等[2]。這些優勢為用戶開展個性化修改，及時發現代碼漏洞，根據最新需求修改代碼等日常行為提供了寬松的環境。

開源軟件在信息安全領域應用倍受關注，開源安全軟件（Open Source Security Software）應運而生。中國工程院院士倪光南在接受《經濟參考報》采訪時指出，在當前云計算、物聯網、三網融合等新一代信息技術發展潮流中，開源軟件有發展成為主導軟件的趨勢，指出國內主流安全軟件金山衛士的開源計劃是符合當今潮流之舉。

開源安全軟件較之閉源安全軟件優勢如下：①面對用戶不同的安全需求，開源安全軟件可以支持用戶開展個性化修改，而閉源安全軟件只能通過商業手段達此目的;②軟件自身漏洞方面，閉源安全軟件與其它所有閉源軟件一樣，只能由研發人員出于商業目的進行維護，通常只局限于若干個人，而開源安全軟件允許所有使用者查看源代碼，這大大提高了發現漏洞的幾率;③面對來自網絡日趨多樣化的攻擊時，閉源安全軟件對攻擊的甄別和防御功能只是局限于研發團隊之中，而開源安全軟件則允許所有使用者對軟件進行修改，這為開源安全軟件提供了靈活發展空間。

1 研究背景

開源軟件發展因素研究熱點：Midha[3]以開源軟件的受歡迎程度、市場占有率和技術成熟度等指標評價開源軟件;Daniel，Agarwal& Stewart[4]給出以社會參與度和行業認可指標評價開源軟件;Crowston&Annabi[5]針對開源軟件研發團隊對軟件bug的修正速度和研發團隊效率間關系開展實證研究;Kris Ven&Peter De Bruyn[6]分析了機構對開源軟件的影響以及提升機構影響力路徑;Amir Hossein Ghapanchi、Claes Wohlin&Aybüke Aurum[7]通過對開源軟件用戶需求調查，分析開源軟件對用戶需求的響應效率對軟件項目發展的影響，指出開源軟件獲得競爭優勢的關鍵因素;華中科技大學吳江[8]分析了開發者與源代碼間依存關系對開源軟件成功的影響。

安全軟件指預警、阻止、保護、響應和恢復系統誤用和濫用的一類軟件[9]。開源安全軟件，顧名思義是開放源代碼的安全軟件，是按軟件功能劃分的一類開源軟件。目前對于開源安全軟件的研究并不多見。Chacon、Jose Francisco Cardenas[10]在其博士論文中通過定量分析發現創新性和軟件本身的開發質量是影響開源安全軟件成功的兩個關鍵因素;Barta[11]在其博士論文中提出將下載量作為衡量開源安全軟件成功的標志，通過統計學方法分析與下載量相關的工程因素，但未分析開源安全軟件工程因素對其下載量的影響機理。

2002年之前開源軟件多為志愿者獨立開發，而多人開發的開源軟件更易獲得關注和下載[12]。對于研發團隊規模軟件受關注度之間關系的研究一直沒有停止。Beaver通過建模分析影響研發工程師的技術因素和社會因素，評價了研發團隊規模對開源軟件項目的動態影響。本文以研發團隊規模為切入點，分析其對開源安全軟件的影響。

適時應變是開源安全軟件相對于其它開源軟件的一個獨有特點。以用戶下載開源安全軟件主要是為了抵御惡意程序帶來的危害為假設前提，相比一般的開源軟件，用戶對于開源安全軟件的關注點更側重于開源安全軟件的適時應變特性。即在惡意程序層出不窮的環境下，某款開源安全軟件如果能夠應對每一種新出現在網絡中的惡意程序，無疑會受到吸引更多用戶的關注和下載。

本文將以開源安全軟件的研發屬性為切入點，探尋影響開源安全軟件下載量的工程因素。揭示以較高下載量為標志的成功的開源安全軟件研發屬性的特征。其中，研發屬性主要著眼于開源安全軟件研發團隊規模和研發工程事件數。

本文研究目的在于調查開源安全軟件的研發事件數、團隊規模與下載量間的關系。開源安全軟件研發團隊的規模約定為參與軟件研發工作的研發工程師人數;軟件工程研發事件數，本文依據數據源統計信息約定為以下事件：開始的開發任務數、完畢的開發任務數、開始解決的bug數、解決完畢的bug數、開始的補丁數、完畢的補丁數、開始的插件數、完畢的插件數，等等。

所涉及的開源安全軟件主要包含以下幾個領域功能：反病毒軟件、安全記錄軟件，漏洞掃描類軟件、入侵檢測軟件和系統修復類軟件。具體描述如下：

反病毒軟件：也稱為安全糾正軟件（Corrective security software），即阻止危害計算機的未知事件重現的安全軟件。這類軟件可以掃描計算機中存在的惡意軟件，并刪除或隔離，從而實現計算機系統功能自動修復。

安全記錄軟件：也稱為安全偵測軟件（Detective security software）。這類軟件只負責偵測計算機發生的異常事件，并不阻止事件發生或作其它處理。如常見的日志工具（logging software）只記錄與本機相關的事件。

漏洞掃描軟件，也稱為安全告警軟件（Deterrent security software）。這類軟件的功能是提示用戶不當使用可能引發的嚴重后果，常見的如計算機系統中彈出的警告框，警告用戶正在發生的風險，或提示用戶開啟安全監控。

入侵檢測軟件：也稱為預防性安全軟件（Preventive security software）。這類軟件的功能是用來阻止預期之外的計算機活動，常見功能如防火墻軟件，阻止無授權或未經請求的鏈接連接本地資源。

系統修復類軟件，也稱為安全復原軟件（Recovery security software）。這類軟件功能是在異常行為發生后，使用備份資源將系統修復如前，即在系統發生異常時使系統恢復到原來的正常水平。

在收集數據時將從以上類別的開源安全軟件中提取數據，確定用于檢索的關鍵字列表如下：malware、malicious、antivirus、A/V、anti-virus、IDS、firewall和intrusion detection等。

2 數據來源與處理

2.1 數據來源

SourceForge.net是世界最大的開源軟件項目庫，已發布超過430 000項開源軟件，注冊用戶數超過3 700 000個。本文數據來自“SourceForge研究數據檔案”（SourceForge Research Data Archive，簡稱SRDA），全世界有200多位各領域的研究人員通過SRDA開展研究。該數據庫每月以鏡像的方式更新數據，通過美國圣母大學（University of Notre Dames）SRDA入口與該校e-mail獲取。本文通過結構化查詢語言從SDRA鏡像服務器提取groups和stats_project_all兩張表，涵蓋SDRA中2018年12月以前總共927 321個開源軟件項目，如圖1所示。

2.2 數據處理

SDRA中groups所列條目需通過系統過濾和手工篩選，以剔除非安全軟件項目。本文采用Microsoft Access對數據進行預處理，將表groups導入該軟件，清除重復數據和空數據，并按照標簽對表中所有項目屬性進行過濾，采用前文確定的關鍵字，并適當擴充malware、malicious、antivirus、A/V、anti-virus、 IDS、intrusion detection、intrusion detection system、fire wall、firewall和fire-wall等。過濾后的數據子集再進行人工檢視以清除錯誤，確保所列項為安全軟件范疇。然后將數據導入Microsoft visual foxpro 5.0，將表groups和stats_project_all整合在一起。整合之后的新表包含如下字段：number of downloads、 team size、 number of developer tasks closed、number of developer tasks opened、 number of bug fixes closed、 number of bug fixes opened、number of patches closed、 number of patches opened、 number of support tickets closed、number of support tickets opened，最終得到1 189個開源安全軟件的統計信息，其中完備數據僅有544條，如表1所示。

3 數據分析

將數據導入SPSS（Statistical Product and Service Solution）進一步分析下載量與團隊規模及軟件工程事件間的關系。

使用皮爾遜相關系數（Pearson correlation coefficient）分析法作為主要分析手段。皮爾遜相關系數（Pearson correlation coefficient）又稱為皮爾遜積矩陣相關系數（Pearson product-moment correlation coefficient），是一種線性相關系數，即定義一個值（-1，1）之間的值r為相關系數，表示兩個變量之間關系的緊密程度，r的絕對值越趨向于1則變量間相關性越強。

皮爾遜相關系數（Pearson correlation coefficient）用來評估變量間關系密切程度，常用于評估連續線性相關變量。

3.1 下載量與開發團隊成員數間關系分析

導入數據到SPSS進行皮爾遜相關系數分析，得到開源安全軟件下載量與團隊規模之間的關系如表2所示。

對相關系數r值進行劃分，當r≥0.3或r≤-0.3時代表較強的相關性，當r值為0.5，0.3或0.1時依次代表相關程度為較強、中等、較弱。下載量與團隊規模間相關系數r為0.273，為一種較弱相關關系。相關系數假設Sig即p=0.000（認為p≤0.01即通過檢驗）可認為通過檢驗，用*表示。

采用更直觀的散點圖表示下載量與團隊規模間關系，如圖2所示。

通過觀察散點圖中較為離散的分布情況，可以得出相同結論，即下載量與團隊人數之間存在弱相關關系，說明較多的開發者與軟件的下載量并無太多聯系，這與Sandeep Krishnamurthy在2016年針對開源軟件得出的研究結論存在沖突，其認為較多的開發者會為開源軟件帶來較高的下載量。作為開源軟件的一個分支，開源安全軟件在2002年的統計結論與2018年的統計結論不同，主要原因在于2000年之后開源軟件的發展緊緊圍繞開源社區展開，而開源社區的興起吸引了大量軟件公司的關注。開源軟件已經從最初的軟件愛好者憑興趣自發研發軟件為主，逐漸向產業化過渡。在這種發展趨勢下，用戶在選擇下載開源安全軟件產品時，已不再過多地關注研發團隊信息，而是轉向對于軟件本身的研判。

3.2 下載量與軟件工程事件數間的關系分析

應用SPSS進一步分析下載量與軟件工程事件數間的關系，如表3所示。

同樣，對相關系數r值進行劃分，當r≥ 0.3或r ≤-0.3時代表較強的相關性，當r值為0.5，0.3或0.1時依次代表相關程度為較強、中等、較弱。從表3可以看出，下載量與軟件工程事件數間的皮爾遜相關系數r為0.328，表明在下載量與軟件工程事件數間存在中等強度的相關關系。相關系數假設檢驗Sig即p=0.000（認為p≤0.01即通過檢驗）可認為通過檢驗，用*所示。

采用更直觀的散點圖表示下載量與軟件工程事件數間關系，如圖3所示。

從圖3可以直觀看出圖2的散點更為集中，結合表3的定量分析可以得出如下結論：下載量與軟件工程事件數間存在中等強度的相關關系。

軟件工程事件數是軟件健壯性、可靠性不斷提高和功能不斷完善的標志，包含對開發任務、補丁、bug、插件或新增版本等行為的確切統計信息。對于成功的開源安全軟件而言不存在最終版本。在應對層出不窮的網絡威脅時，不斷完善軟件功能使之能夠防御各種危害用戶計算機的行為，必然導致較高的工程事件數。在網絡中出現新型安全威脅時，用戶選擇針對此威脅的最新版本的開源安全軟件下載無疑是最佳選擇。所以，對于一款生命力旺盛的開源安全軟件，隨著時間的推移必然不斷添加新增功能以抵御不斷出現新的安全問題，只有通過這種方式，才能保持用戶對它的關注度并維持較高的下載量，這是維持開源安全軟件長盛不衰的必然途徑。

4 結語

本文通過對來自SDRA的開源安全軟件數據的收集、處理和分析，評估了開源軟件下載量與研發團隊成員數和軟件工程事件數之間的關系。得出以下結論：①開源安全軟件下載量與研發團隊成員數的相關性較弱;②開源安全軟件下載量與軟件工程事件數之間存在中等強度的相關關系。

在網絡信息安全形勢日趨嚴峻的時代背景下，開源安全軟件的快速發展無疑為緩解安全形勢提供了一條新路徑。基于開源軟件自身的開放特性，下載量是評估開源軟件的重要指標之一。較高的下載量預示著一款開源軟件的受歡迎程度，也是開源軟件自身競爭力的重要體現。本文聚焦工程屬性，通過定量分析發現用戶在選擇開源安全軟件時的關注度變遷，即從對研發團隊規模的關注轉向對工程事件數的關注。結合開源軟件發展歷程，將工程事件數作為研判軟件質量的指標是理性的選擇。作為開源安全軟件研發項目管理者，應著眼于軟件質量提升，不斷完善軟件功能，使其能夠應對網絡中不斷出現的危害計算機的各種情況。應更多關注開源安全軟件，獲得更高的下載量并維持自身生命力，從而獲得較強的競爭力。

參考文獻：

[1] 張小號，馬治國. 由微軟訴TomTom案看著作權集體管理對開源軟件發展的作用[J]. 情報雜志，2011.08，30（8）：191-195.

[2] PAULSON J W，SUCCI G，EBERLEIN A. An empirical study of open-source and closed-source software products[C]. ?IEEE Transactions on Software engineering， 2014，30（4）：246-256.

[3] MIDHA V， PALVIA P. Factors affecting the success of open source software[J]. Journal of Systems and Software， 2012，85（4）：895-905.

[4] DANIEL S， AGARWAL R， KATHERINE J ?STEWART. The effects of diversity in global， distributed collectives： a study of open source project success[J]. Information Systems Research， 2012，24（2）：312-333.

[5] CROWSTON K， ANNABI H， ?HOWISON J. Information systems success in free and open source software development： theory and measures[J]. ?In Software Process：Improvement and Practice， 2006，11（2）：123–148.

[6] VEN K， DE BRUYN P. Factors affecting the development of absorptive capacity in the adoption of open source software[J]. ?International Journal of Open Source Software and Processes， 2011，3（1）：17-38.

[7] GHAPANCHI A H，WOHLIN C， AURUM A.Resources contributing to gaining competitive advantage for open source software projects： an application of resource-based theory[J]. ?International Journal of Project Management， 2014.1，32（1） ：139-152

[8] 吳江，胡斌，張金隆. 開源軟件開發者和源代碼協調性的網絡分析[J]. 科研管理，2011，32（8）：133-141.

[9] MCCOMBS B. Is your computer secure[J]. ?Canadian Journal of Rural Medicine，2011，16（4）：137-138.

[10] CARDENAS CHACON J F. A quantitative study of open source information security software success[D]. Minnesota： Capella University，2014.

[11] BARTA B J. An analysis of open source security software products downloads [D]. Minnesota： Capella University，2014.

[12] KRISHNAMURTHY S. Cave or community ： an empirical examination of 100 mature open source projects [EB/OL]. http：//firstmonday.org/ojs/index.php/fm/article/view/1477/1392.

（責任編輯：杜能鋼）