4月17日，中國科學院網絡安全和信息化領導小組辦公室發布了2022年度院網信工作十大進展名單。中國科學院軟件研究所、中科南京軟件技術研究院共同研發的“源圖”開源軟件供應鏈基礎設施平臺入選。 

　　“源圖”開源軟件供應鏈基礎設施平臺旨在建設開源軟件采集存儲、依賴分析、開發測試、集成發布、確權認證、運維升級一體化設施，突破軟件領域關鍵核心技術，打造服務全球的開源代碼知識圖譜、安全保障和智能推薦體系，應對開源軟件供應中的風險，保障軟件可靠供應和產業創新發展。“源圖”開源軟件供應鏈平臺關鍵技術研究于2019年10月在中科院先導專項支持下啟動，2021年3月在南京市政府支持下啟動“源圖”基礎設施平臺建設，之后在2021年和2022年的世界互聯網大會上陸續發布“源圖”1.0版本和2.0版本。 

　　當前，“源圖”共包括合規性分析、安全性分析、可維護性分析、供應鏈推薦四大核心功能，已累計獲取、分析開源軟件超過1500萬款，構建了開源軟件知識圖譜，實體數量超過5000萬，關系數量超過8億條，支持3257種開源許可證的沖突檢測。截至2022年12月31日，“源圖”新發現漏洞超過300個，識別超過80萬個存在維護性風險的項目、24萬個存在許可證沖突的項目、773個被“投毒”成功的開源項目，其中145個漏洞已獲得正式編號，56個漏洞面向公眾公開，占全球已公開PyPI投毒相關漏洞的比例為96%。同時，通過軟件所發起的開源軟件供應鏈“點亮計劃”持續消除開源風險節點，培養開源后備人才，已連續舉辦四屆“開源之夏”活動，累計吸引全球28個國家、500所高校的2000多名學生參與200多個開源社區的項目貢獻。 

　　“源圖”在建設過程中已先后在電力電網、能源等國家關鍵基礎設施領域的39家重點單位、20家工業機器人制造企業以及5家醫療單位得到應用，發現漏洞、病毒等安全威脅1500余個，部分關鍵技術獲得2021年北京市科技進步一等獎、2022年電子學會科技進步二等獎。 

　　未來，“源圖”團隊將圍繞供應鏈威脅情報分析、SBOM+分析、智能軟件推薦等關鍵技術進行攻關，并逐步通過API服務面向社會開放“源圖”基礎能力，夯實“源圖”基礎設施屬性，助力開源軟件可靠供應鏈建設。

“源圖”開源軟件供應鏈基礎設施平臺

點擊查看：2022年度中國科學院網信工作十大進展