开源软件供应链重大基础设施在开源软件合规性分析方面取得进展

近日，开源软件供应链重大基础设施平台“源图”在开源许可证（Open Source License）合规性分析方面取得进展，提出了基于人工智能技术的开源软件许可证风险分析方法与工具，实现了许可证声明条款自动提取、条款倾向智能判断以及条款冲突精准识别，发现了大量存在合规性风险的项目。相关研究成果（An Empirical Study of License Conflict in Free and Open Source Software）已被软件工程领域的国际顶级会议ICSE  2023接收。

近年来，开源软件的创新发展已经形成全球化趋势，开源在软件开发及应用领域发挥着重要作用。开源软件许可证规定了软件开源的使用权力与义务，从而保障开发者与使用者的合法利益。然而，每个开源软件及组件都可能通过不同许可证和不同条款来发布。在复杂的软件供应链中，当开源软件或组件所使用的许可证与整个项目所使用的许可证条款相互冲突时，将会存在许可证兼容性问题，从而导致开源软件的违规使用风险。

团队聚焦开源软件供应链中的许可证冲突问题，设计了一种检测开源许可证并分析冲突的自动化工具，通过自然语言处理技术构建了一个包含3256个开源许可证的冲突关系知识库，借助该知识库实现软件许可证扫描、冲突行为识别，并为这些风险提供可行的消解方案，在开源软件供应链重大基础设施平台“源图”应用。目前，“源图”已累计分析开源项目超过140万款，检测时长超过14000小时，已发现超过24万个项目存在合规性风险。此外，“源图”还支撑软件成分分析（SCA）、软件物料清单（SBOM）分析、OpenChain认证等应用，并在知识产权纠纷、企业软件许可分析、科研软件合规性研判等领域得到实践应用，有效管控了软件项目中的开源许可证风险。

开源软件供应链重大基础设施旨在应对开源软件供应中的风险，突破软件领域关键核心技术，建设知识化的软件图谱、供应链安全分析、供应链集成推荐一体化设施，打造服务全球的开源代码知识图谱和开源软件供应链体系，保障软件供应安全和产业创新发展。自2021年启动建设，“源图”平台已发布2.0版本，累计发现超过80万个存在维护性风险的项目，24万个存在许可证冲突的项目，773 个被“投毒”成功的项目，其中已获得145个PyPI漏洞编号，12个Kernel漏洞编号。在开源合规分析方面，“源图”已超越国外同类竞品，可为开源项目全球范围的大规模推广应用提供合规性支撑。

许可证冲突分析工作流程