“源圖2.0”亮相世界互聯(lián)網(wǎng)大會烏鎮(zhèn)峰會
11月9日下午舉行的2022年世界互聯(lián)網(wǎng)大會烏鎮(zhèn)峰會開源技術生態(tài)創(chuàng)新發(fā)展論壇上,由中國科學院軟件研究所、中科南京軟件技術研究院建設的開源軟件供應鏈重大基礎設施“源圖2.0”正式發(fā)布。這標志著該重大基礎設施建設取得重要階段性成果,為國內開源軟件可靠供應鏈構建提供了有效支撐。
近年來,軟件及信息技術產(chǎn)業(yè)迅猛發(fā)展,伴隨著開源軟件自身的開放性、高質量、靈活性等特點,基于開源軟件開發(fā)已成為新一代軟件開發(fā)模式。與此同時,國內開源軟件供應鏈風險事件卻頻頻發(fā)生,使用開源軟件所面臨的威脅也日益突出。
針對開源軟件可靠供應問題,2021年3月,在南京市支持下,國內首個開源軟件供應鏈重大基礎設施平臺“源圖”在南京麒麟科創(chuàng)園正式啟動建設,旨在應對開源軟件供應中的風險,突破軟件領域關鍵核心技術,建設國內首個開源軟件采集存儲、開發(fā)測試、集成發(fā)布、運維升級一體化設施,打造服務全球的開源代碼知識圖譜和開源軟件供應鏈體系,保障軟件供應安全和產(chǎn)業(yè)創(chuàng)新發(fā)展。
中科院軟件研究所研究員吳敬征介紹,去年9月發(fā)布的“源圖1.0”構建了開源軟件供應鏈知識圖譜,首次將可維護性分析、安全性分析、合規(guī)性分析等功能同時引入平臺。如今,升級版“源圖2.0”已集成超千萬的開源項目,實現(xiàn)了針對軟件的推理、預測、推薦等多重功能。
“源圖2.0”包括合規(guī)性分析、安全性分析、可維護性分析、供應鏈推薦四大核心功能,目前已累計獲取、分析開源軟件超過1000萬款,構建了開源軟件知識圖譜,實體數(shù)量達到4643萬,關系數(shù)量超過6.5億條。此外,還實現(xiàn)了3256種開源許可證的沖突關系圖譜構建,發(fā)現(xiàn)超過20萬個項目存在合規(guī)性風險,707個項目被“投毒”成功,其中114個漏洞已獲得正式編號,56個漏洞面向公眾公開,占全球已公開PyPI投毒相關漏洞比例的96%。
值得一提的是,“源圖2.0”還能實現(xiàn)智能軟件供應鏈推薦,已覆蓋操作系統(tǒng)、大數(shù)據(jù)、金融、人工智能等12個行業(yè)場景。以工業(yè)軟件供應鏈為例,“源圖2.0”建立了超1.9萬個工控物聯(lián)網(wǎng)固件的固件分析數(shù)據(jù)集,共發(fā)現(xiàn)漏洞22萬余次,其中高危漏洞約占20%。在對國家關鍵基礎設施領域風險檢查方面,發(fā)現(xiàn)漏洞、病毒等安全威脅1500余個。今年10月,“源圖”成功入選“南京市2022年軟件和信息服務優(yōu)質應用場景名單”。
當天活動現(xiàn)場,同時發(fā)布了開源軟件供應鏈技術白皮書,以及包括軟件合規(guī)性分析等在內的12種功能場景,為全社會提供開源軟件供應鏈基礎設施平臺支撐。(記者 杜瑩 通訊員 王浩)
江蘇蘇訊網(wǎng)版權及免責聲明:凡本網(wǎng)注明“來源:XXX(非江蘇蘇訊網(wǎng))”的作品,均轉載自其它媒體,轉載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點和對其真實性負責。 如因作品內容、版權和其它問題需要同本網(wǎng)聯(lián)系的,本網(wǎng)按規(guī)定給予一定的稿費或要求直接刪除,請致電025-86163400 ,聯(lián)系郵箱:724922822@qq.com。