“源圖2.0”亮相世界互聯(lián)網(wǎng)大會(huì)烏鎮(zhèn)峰會(huì)

11月9日下午舉行的2022年世界互聯(lián)網(wǎng)大會(huì)烏鎮(zhèn)峰會(huì)開(kāi)源技術(shù)生態(tài)創(chuàng)新發(fā)展論壇上，由中國(guó)科學(xué)院軟件研究所、中科南京軟件技術(shù)研究院建設(shè)的開(kāi)源軟件供應(yīng)鏈重大基礎(chǔ)設(shè)施“源圖2.0”正式發(fā)布。這標(biāo)志著該重大基礎(chǔ)設(shè)施建設(shè)取得重要階段性成果，為國(guó)內(nèi)開(kāi)源軟件可靠供應(yīng)鏈構(gòu)建提供了有效支撐。

近年來(lái)，軟件及信息技術(shù)產(chǎn)業(yè)迅猛發(fā)展，伴隨著開(kāi)源軟件自身的開(kāi)放性、高質(zhì)量、靈活性等特點(diǎn)，基于開(kāi)源軟件開(kāi)發(fā)已成為新一代軟件開(kāi)發(fā)模式。與此同時(shí)，國(guó)內(nèi)開(kāi)源軟件供應(yīng)鏈風(fēng)險(xiǎn)事件卻頻頻發(fā)生，使用開(kāi)源軟件所面臨的威脅也日益突出。

針對(duì)開(kāi)源軟件可靠供應(yīng)問(wèn)題，2021年3月，在南京市支持下，國(guó)內(nèi)首個(gè)開(kāi)源軟件供應(yīng)鏈重大基礎(chǔ)設(shè)施平臺(tái)“源圖”在南京麒麟科創(chuàng)園正式啟動(dòng)建設(shè)，旨在應(yīng)對(duì)開(kāi)源軟件供應(yīng)中的風(fēng)險(xiǎn)，突破軟件領(lǐng)域關(guān)鍵核心技術(shù)，建設(shè)國(guó)內(nèi)首個(gè)開(kāi)源軟件采集存儲(chǔ)、開(kāi)發(fā)測(cè)試、集成發(fā)布、運(yùn)維升級(jí)一體化設(shè)施，打造服務(wù)全球的開(kāi)源代碼知識(shí)圖譜和開(kāi)源軟件供應(yīng)鏈體系，保障軟件供應(yīng)安全和產(chǎn)業(yè)創(chuàng)新發(fā)展。

中科院軟件研究所研究員吳敬征介紹，去年9月發(fā)布的“源圖1.0”構(gòu)建了開(kāi)源軟件供應(yīng)鏈知識(shí)圖譜，首次將可維護(hù)性分析、安全性分析、合規(guī)性分析等功能同時(shí)引入平臺(tái)。如今，升級(jí)版“源圖2.0”已集成超千萬(wàn)的開(kāi)源項(xiàng)目，實(shí)現(xiàn)了針對(duì)軟件的推理、預(yù)測(cè)、推薦等多重功能。

“源圖2.0”包括合規(guī)性分析、安全性分析、可維護(hù)性分析、供應(yīng)鏈推薦四大核心功能，目前已累計(jì)獲取、分析開(kāi)源軟件超過(guò)1000萬(wàn)款，構(gòu)建了開(kāi)源軟件知識(shí)圖譜，實(shí)體數(shù)量達(dá)到4643萬(wàn)，關(guān)系數(shù)量超過(guò)6.5億條。此外，還實(shí)現(xiàn)了3256種開(kāi)源許可證的沖突關(guān)系圖譜構(gòu)建，發(fā)現(xiàn)超過(guò)20萬(wàn)個(gè)項(xiàng)目存在合規(guī)性風(fēng)險(xiǎn)，707個(gè)項(xiàng)目被“投毒”成功，其中114個(gè)漏洞已獲得正式編號(hào)，56個(gè)漏洞面向公眾公開(kāi)，占全球已公開(kāi)PyPI投毒相關(guān)漏洞比例的96%。

值得一提的是，“源圖2.0”還能實(shí)現(xiàn)智能軟件供應(yīng)鏈推薦，已覆蓋操作系統(tǒng)、大數(shù)據(jù)、金融、人工智能等12個(gè)行業(yè)場(chǎng)景。以工業(yè)軟件供應(yīng)鏈為例，“源圖2.0”建立了超1.9萬(wàn)個(gè)工控物聯(lián)網(wǎng)固件的固件分析數(shù)據(jù)集，共發(fā)現(xiàn)漏洞22萬(wàn)余次，其中高危漏洞約占20%。在對(duì)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域風(fēng)險(xiǎn)檢查方面，發(fā)現(xiàn)漏洞、病毒等安全威脅1500余個(gè)。今年10月，“源圖”成功入選“南京市2022年軟件和信息服務(wù)優(yōu)質(zhì)應(yīng)用場(chǎng)景名單”。

當(dāng)天活動(dòng)現(xiàn)場(chǎng)，同時(shí)發(fā)布了開(kāi)源軟件供應(yīng)鏈技術(shù)白皮書(shū)，以及包括軟件合規(guī)性分析等在內(nèi)的12種功能場(chǎng)景，為全社會(huì)提供開(kāi)源軟件供應(yīng)鏈基礎(chǔ)設(shè)施平臺(tái)支撐。(記者 杜瑩 通訊員 王浩)