软件所“源图”开源软件供应链基础设施平台入选2022年度院网信工作十大进展
文章来源: | 发布时间:2023-04-25 | 【打印】 【关闭】
4月17日,中国科学院网络安全和信息化领导小组办公室发布了2022年度院网信工作十大进展名单。中国科学院软件研究所、中科南京软件技术研究院共同研发的“源图”开源软件供应链基础设施平台入选。
“源图”开源软件供应链基础设施平台旨在建设开源软件采集存储、依赖分析、开发测试、集成发布、确权认证、运维升级一体化设施,突破软件领域关键核心技术,打造服务全球的开源代码知识图谱、安全保障和智能推荐体系,应对开源软件供应中的风险,保障软件可靠供应和产业创新发展。“源图”开源软件供应链平台关键技术研究于2019年10月在中科院先导专项支持下启动,2021年3月在南京市政府支持下启动“源图”基础设施平台建设,之后在2021年和2022年的世界互联网大会上陆续发布“源图”1.0版本和2.0版本。
当前,“源图”共包括合规性分析、安全性分析、可维护性分析、供应链推荐四大核心功能,已累计获取、分析开源软件超过1500万款,构建了开源软件知识图谱,实体数量超过5000万,关系数量超过8亿条,支持3257种开源许可证的冲突检测。截至2022年12月31日,“源图”新发现漏洞超过300个,识别超过80万个存在维护性风险的项目、24万个存在许可证冲突的项目、773个被“投毒”成功的开源项目,其中145个漏洞已获得正式编号,56个漏洞面向公众公开,占全球已公开PyPI投毒相关漏洞的比例为96%。同时,通过软件所发起的开源软件供应链“点亮计划”持续消除开源风险节点,培养开源后备人才,已连续举办四届“开源之夏”活动,累计吸引全球28个国家、500所高校的2000多名学生参与200多个开源社区的项目贡献。
“源图”在建设过程中已先后在电力电网、能源等国家关键基础设施领域的39家重点单位、20家工业机器人制造企业以及5家医疗单位得到应用,发现漏洞、病毒等安全威胁1500余个,部分关键技术获得2021年北京市科技进步一等奖、2022年电子学会科技进步二等奖。
未来,“源图”团队将围绕供应链威胁情报分析、SBOM+分析、智能软件推荐等关键技术进行攻关,并逐步通过API服务面向社会开放“源图”基础能力,夯实“源图”基础设施属性,助力开源软件可靠供应链建设。
“源图”开源软件供应链基础设施平台