南京日报:南京开源软件供应链重大基础设施建设取得重要成果!“源图2.0”亮相世界互联网大会乌镇峰会
11月9日下午举行的2022年世界互联网大会乌镇峰会开源技术生态创新发展论坛上,由中国科学院软件研究所、中科南京软件技术研究院建设的开源软件供应链重大基础设施“源图2.0”正式发布。这标志着该重大基础设施建设取得重要阶段性成果,为国内开源软件可靠供应链构建提供了有效支撑。
近年来,软件及信息技术产业迅猛发展,伴随着开源软件自身的开放性、高质量、灵活性等特点,基于开源软件开发已成为新一代软件开发模式。与此同时,国内开源软件供应链风险事件却频频发生,使用开源软件所面临的威胁也日益突出。
针对开源软件可靠供应问题,2021年3月,在南京市支持下,国内首个开源软件供应链重大基础设施平台“源图”在南京麒麟科创园正式启动建设,旨在应对开源软件供应中的风险,突破软件领域关键核心技术,建设国内首个开源软件采集存储、开发测试、集成发布、运维升级一体化设施,打造服务全球的开源代码知识图谱和开源软件供应链体系,保障软件供应安全和产业创新发展。
中科院软件研究所研究员吴敬征介绍,去年9月发布的“源图1.0”构建了开源软件供应链知识图谱,首次将可维护性分析、安全性分析、合规性分析等功能同时引入平台。如今,升级版“源图2.0”已集成超千万的开源项目,实现了针对软件的推理、预测、推荐等多重功能。
“源图2.0”包括合规性分析、安全性分析、可维护性分析、供应链推荐四大核心功能,目前已累计获取、分析开源软件超过1000万款,构建了开源软件知识图谱,实体数量达到4643万,关系数量超过6.5亿条。此外,还实现了3256种开源许可证的冲突关系图谱构建,发现超过20万个项目存在合规性风险,707个项目被“投毒”成功,其中114个漏洞已获得正式编号,56个漏洞面向公众公开,占全球已公开PyPI投毒相关漏洞比例的96%。
值得一提的是,“源图2.0”还能实现智能软件供应链推荐,已覆盖操作系统、大数据、金融、人工智能等12个行业场景。以工业软件供应链为例,“源图2.0”建立了超1.9万个工控物联网固件的固件分析数据集,共发现漏洞22万余次,其中高危漏洞约占20%。在对国家关键基础设施领域风险检查方面,发现漏洞、病毒等安全威胁1500余个。今年10月,“源图”成功入选“南京市2022年软件和信息服务优质应用场景名单”。
当天活动现场,同时发布了开源软件供应链技术白皮书,以及包括软件合规性分析等在内的12种功能场景,为全社会提供开源软件供应链基础设施平台支撑。