(資料圖)

科技日報記者 張曄

8月21日，國內(nèi)首個開源軟件采集存儲、開發(fā)測試、集成發(fā)布、運維升級等一體化設(shè)施“源圖3.0”在2023中國（南京）國際軟件產(chǎn)品和信息服務(wù)交易博覽會上正式發(fā)布。這是由中國科學(xué)院軟件研究所、中科南京軟件技術(shù)研究院共同建設(shè)的開源軟件供應(yīng)鏈重大基礎(chǔ)設(shè)施平臺，將打造服務(wù)全球的開源代碼知識圖譜和開源軟件供應(yīng)鏈體系，保障我國軟件供給安全和產(chǎn)業(yè)高質(zhì)量發(fā)展。

如何以供應(yīng)鏈的思路和方法去組織規(guī)模龐大、組成復(fù)雜、來源多樣的開源軟件，提供高質(zhì)量、低風(fēng)險、可持續(xù)演進的開源軟件供應(yīng)鏈，關(guān)系到我國當(dāng)前和未來IT科研、產(chǎn)品與生態(tài)的核心競爭力。

為了把更多的開源軟件納入供應(yīng)鏈管理，在應(yīng)對開源軟件供應(yīng)鏈風(fēng)險的同時，集成更多的關(guān)鍵技術(shù)和核心算法，支撐更廣泛的科研和業(yè)務(wù)需求，2021年3月，中國科學(xué)院軟件研究所在南京啟動建設(shè)“源圖”開源軟件供應(yīng)鏈重大基礎(chǔ)設(shè)施。

2021年9月，“源圖1.0”亮相世界互聯(lián)網(wǎng)大會烏鎮(zhèn)峰會，構(gòu)建了開源軟件供應(yīng)鏈知識圖譜，首次將安全性分析、合規(guī)性分析、可維護性分析等功能引入平臺；2022年11月，“源圖2.0”在世界互聯(lián)網(wǎng)大會烏鎮(zhèn)峰會上發(fā)布，集成了超千萬個開源軟件，實現(xiàn)了針對軟件的推理、預(yù)測、推薦等多重功能。對比“源圖1.0”創(chuàng)始基石版和“源圖2.0”擴展進階版，“源圖3.0”定位垂直專精版，新增SBOM+、跨生態(tài)軟件分析、開源安全治理、“源圖”生態(tài)建設(shè)等4大核心功能，提供面向行業(yè)的創(chuàng)新應(yīng)用支撐。

“源圖3.0”的發(fā)布，標(biāo)志著開源軟件供應(yīng)鏈重大基礎(chǔ)設(shè)施建設(shè)取得重要階段性進展，為建設(shè)自主可控、安全可靠的軟件供應(yīng)鏈體系提供了有效支撐。

基于海量代碼知識化等關(guān)鍵核心技術(shù)，“源圖3.0”累計獲取分析開源軟件超過1.4億款，已建成國內(nèi)規(guī)模最大的開源軟件知識圖譜，實體數(shù)量超過1.8億條，關(guān)系數(shù)量超過26億條，代碼行數(shù)超過1900億行，累計發(fā)現(xiàn)存在維護性風(fēng)險、合規(guī)風(fēng)險、安全風(fēng)險的項目超百萬個，實現(xiàn)了代碼缺陷檢測、固件檢測、漏洞感知等創(chuàng)新應(yīng)用。

據(jù)介紹，“源圖”深度支持兩個最大的國產(chǎn)操作系統(tǒng)根社區(qū)開源歐拉和開源鴻蒙，以及國內(nèi)首個自主開源基金會開放原子開源基金會，全面支撐中國科學(xué)院計算機網(wǎng)絡(luò)信息中心、國家互聯(lián)網(wǎng)應(yīng)急中心等重點單位以及華為、阿里等龍頭企業(yè)的創(chuàng)新需求。

以操作系統(tǒng)漏洞感知為例，“源圖”實現(xiàn)了對“歐拉”全版本 9000多個開源組件的漏洞自動化識別、跟蹤和管理，2022年向“歐拉”推送有效漏洞數(shù)量超過7000個，達到其漏洞總數(shù)的96.5%。2023年“源圖”開始向“龍蜥”提供漏洞情報，助力“龍蜥”提升漏洞感知能力。

“源圖”的建設(shè)，得到了江蘇省、南京市和江寧區(qū)以及麒麟科創(chuàng)園在政策、資金、載體等方面的大力支持。

關(guān)鍵詞：