科技日报:“源图3.0”发布 我国开源软件供应链重大基础设施获新进展
8月21日,国内首个开源软件采集存储、开发测试、集成发布、运维升级等一体化设施“源图3.0”在2023中国(南京)国际软件产品和信息服务交易博览会上正式发布。这是由中国科学院软件研究所、中科南京软件技术研究院共同建设的开源软件供应链重大基础设施平台,将打造服务全球的开源代码知识图谱和开源软件供应链体系,保障我国软件供给安全和产业高质量发展。
如何以供应链的思路和方法去组织规模庞大、组成复杂、来源多样的开源软件,提供高质量、低风险、可持续演进的开源软件供应链,关系到我国当前和未来IT科研、产品与生态的核心竞争力。
为了把更多的开源软件纳入供应链管理,在应对开源软件供应链风险的同时,集成更多的关键技术和核心算法,支撑更广泛的科研和业务需求,2021年3月,中国科学院软件研究所在南京启动建设“源图”开源软件供应链重大基础设施。
2021年9月,“源图1.0”亮相世界互联网大会乌镇峰会,构建了开源软件供应链知识图谱,首次将安全性分析、合规性分析、可维护性分析等功能引入平台;2022年11月,“源图2.0”在世界互联网大会乌镇峰会上发布,集成了超千万个开源软件,实现了针对软件的推理、预测、推荐等多重功能。对比“源图1.0”创始基石版和“源图2.0”扩展进阶版,“源图3.0”定位垂直专精版,新增SBOM+、跨生态软件分析、开源安全治理、“源图”生态建设等四大核心功能,提供面向行业的创新应用支撑。
“源图3.0”的发布,标志着开源软件供应链重大基础设施建设取得重要阶段性进展,为建设自主可控、安全可靠的软件供应链体系提供了有效支撑。
基于海量代码知识化等关键核心技术,“源图3.0”累计获取分析开源软件超过1.4亿款,已建成国内规模最大的开源软件知识图谱,实体数量超过1.8亿条,关系数量超过26亿条,代码行数超过1900亿行,累计发现存在维护性风险、合规风险、安全风险的项目超百万个,实现了代码缺陷检测、固件检测、漏洞感知等创新应用。
据介绍,“源图”深度支持两个最大的国产操作系统根社区开源欧拉和开源鸿蒙,以及国内首个自主开源基金会开放原子开源基金会,全面支撑中国科学院计算机网络信息中心、国家互联网应急中心等重点单位以及华为、阿里等龙头企业的创新需求。
以操作系统漏洞感知为例,“源图”实现了对“欧拉”全版本9000多个开源组件的漏洞自动化识别、跟踪和管理,2022年向“欧拉”推送有效漏洞数量超过7000个,达到其漏洞总数的96.5%。2023年“源图”开始向“龙蜥”提供漏洞情报,助力“龙蜥”提升漏洞感知能力。
“源图”的建设,得到了江苏省、南京市和江宁区以及麒麟科创园在政策、资金、载体等方面的大力支持。