软件所“源图”入选2022年度院网信工作十大进展

文章来源:  |  发布时间:2023-04-25  |  【打印】 【关闭

  

  417日,中国科学院网络安全和信息化领导小组办公室发布了2022年度院网信工作十大进展名单。中国科学院软件研究所、中科南京软件技术研究院共同研发的源图开源软件供应链基础设施平台入选。 

  “源图”开源软件供应链基础设施平台旨在建设开源软件采集存储、依赖分析、开发测试、集成发布、确权认证、运维升级一体化设施,突破软件领域关键核心技术,打造服务全球的开源代码知识图谱、安全保障和智能推荐体系,应对开源软件供应中的风险,保障软件可靠供应和产业创新发展。“源图”开源软件供应链平台关键技术研究于201910月在中科院先导专项支持下启动,20213月在南京市政府支持下启动“源图”基础设施平台建设,之后在2021年和2022年的世界互联网大会上陆续发布“源图”1.0版本和2.0版本。 

  当前,“源图”共包括合规性分析、安全性分析、可维护性分析、供应链推荐四大核心功能,已累计获取、分析开源软件超过1500万款,构建了开源软件知识图谱,实体数量超过5000万,关系数量超过8亿条,支持3257种开源许可证的冲突检测。截至20221231日,“源图”新发现漏洞超过300个,识别超过80万个存在维护性风险的项目、24万个存在许可证冲突的项目、773个被投毒成功的开源项目,其中145个漏洞已获得正式编号,56个漏洞面向公众公开,占全球已公开PyPI投毒相关漏洞的比例为96%。同时,通过软件所发起的开源软件供应链“点亮计划”持续消除开源风险节点,培养开源后备人才,已连续举办四届“开源之夏”活动,累计吸引全球28个国家、500所高校的2000多名学生参与200多个开源社区的项目贡献。 

  “源图”在建设过程中已先后在电力电网、能源等国家关键基础设施领域的39家重点单位、20家工业机器人制造企业以及5家医疗单位得到应用,发现漏洞、病毒等安全威胁1500余个,部分关键技术获得2021年北京市科技进步一等奖、2022年电子学会科技进步二等奖。 

  未来,“源图”团队将围绕供应链威胁情报分析、SBOM+分析、智能软件推荐等关键技术进行攻关,并逐步通过API服务面向社会开放“源图”基础能力,夯实“源图”基础设施属性,助力开源软件可靠供应链建设。

源图开源软件供应链基础设施平台

  

点击查看:2022年度中国科学院网信工作十大进展