开源软件供应链重大基础设施建设取得重要成果 “源图2.0”亮相世界互联网大会乌镇峰会

本报讯（记者 杜莹 通讯员 王浩）9日下午举行的2022年世界互联网大会乌镇峰会“开源技术生态创新发展论坛”上，由中国科学院软件研究所、中科南京软件技术研究院建设的开源软件供应链重大基础设施“源图2.0”正式发布，这标志着该重大基础设施建设取得重要阶段性成果，为国内开源软件可靠供应链构建提供有效支撑。

近年来，软件及信息技术产业迅猛发展，伴随着开源软件自身的开放性、高质量、灵活性等特点，基于开源软件开发已成为新一代软件开发模式。与此同时，国内开源软件供应链风险事件却频频发生，使用开源软件所面临的威胁也日益突出。

针对开源软件可靠供应问题，2021年3月，在南京市支持下，国内首个开源软件供应链重大基础设施平台“源图”在南京麒麟科创园正式启动建设，旨在应对开源软件供应中的风险，突破软件领域关键核心技术，建设国内首个开源软件采集存储、开发测试、集成发布、运维升级一体化设施，打造服务全球的开源代码知识图谱和开源软件供应链体系，保障软件供应安全和产业创新发展。

中科院软件研究所研究员吴敬征介绍，去年9月发布的“源图1.0”构建了开源软件供应链知识图谱，首次将可维护性分析、安全性分析、合规性分析等功能同时引入平台。如今，升级版“源图2.0”已集成超千万的开源项目，实现了针对软件的推理、预测、推荐等多重功能。

据悉，“源图2.0”包括合规性分析、安全性分析、可维护性分析、供应链推荐四大核心功能，目前已累计获取、分析开源软件超过1000万款，构建了开源软件知识图谱，实体数量达到4643万，关系数量超过6.5亿条。此外，还实现3256种开源许可证的冲突关系图谱构建，发现超过20万个项目存在合规性风险，707个项目被“投毒”成功，其中114个漏洞已获得正式编号，56个漏洞已面向公众公开，占全球已公开PyPI投毒相关漏洞比例的96%。

值得一提的是，“源图2.0”还能实现智能软件供应链推荐，已覆盖操作系统、大数据、金融、人工智能等12个行业场景。以工业软件供应链为例，“源图2.0”建立了超1.9万个工控物联网固件的固件分析数据集，共发现漏洞22万余次，其中高危漏洞约占20%。在对国家关键基础设施领域风险检查方面，发现漏洞、病毒等安全威胁1500余个。今年10月，“源图”成功入选“南京市2022年软件和信息服务优质应用场景名单”。

当天活动现场，还同时发布了开源软件供应链技术白皮书，以及软件合规性分析等在内的12种功能场景，为全社会提供开源软件供应链基础设施平台支撑。