• <u id="saeeq"><wbr id="saeeq"></wbr></u>
  • <s id="saeeq"><div id="saeeq"></div></s>
  • <u id="saeeq"></u>
  • <u id="saeeq"><noscript id="saeeq"></noscript></u>
  • <s id="saeeq"></s>
  • 軟件所在開源軟件合規性分析方面取得進展

    文章來源:  |  發布時間:2023-02-06  |  【打印】 【關閉

      

       近日,中國科學院軟件研究所智能軟件研究中心團隊基于“源圖”開源軟件供應鏈重大基礎設施平臺開展的開源許可證(Open Source License)合規性分析工作取得進展。該項研究提出了基于人工智能技術的開源軟件許可證風險分析方法與工具,實現了許可證聲明條款自動提取,條款傾向智能判斷以及條款沖突精準識別。該成果論文“An Empirical Study of License Conflict in Free and Open Source Software”已被軟件工程領域的國際頂級會議ICSE-SEIP 2023接收,第一作者為智能軟件研究中心工程師崔星,通訊作者為吳敬征研究員。 

      近年來,開源軟件的創新發展已經形成全球化趨勢,在軟件開發及應用領域發揮著重要作用。開源軟件許可證規定了軟件開源的使用權力與義務,從而保障開發者與使用者的合法利益。然而,每個開源軟件及組件都可能通過不同許可證和不同條款來發布。在復雜的軟件供應鏈中,當開源軟件或組件所使用的許可證與整個項目所使用的許可證條款相互沖突時, 將會存在許可證兼容性問題, 從而導致開源軟件的違規使用風險。 

      “源圖”團隊聚焦開源軟件供應鏈中的許可證沖突問題,設計了一種檢測開源許可證并分析沖突的自動化工具,通過自然語言處理技術構建了一個包含3256個開源許可證的沖突關系知識庫,借助該知識庫,實現軟件許可證掃描、沖突行為識別,并為這些風險提供可行的消解方案。研究成果已經在“源圖”開源軟件供應鏈重大基礎設施平臺進行應用,目前已累計分析開源項目超過140萬款,檢測時長超過14,000小時,已發現超過24萬個項目存在合規性風險。此外,該工具還支撐軟件成分分析(SCA)、軟件物料清單(SBOM)分析、OpenChain認證等應用,并在知識產權糾紛、企業軟件許可分析、科研軟件合規性研判等領域得到實踐應用,有效管控了軟件項目中的開源許可證風險。 

      “源圖”開源軟件供應鏈基礎設施平臺,旨在應對開源軟件供應中的風險,突破軟件領域關鍵核心技術,建設知識化的軟件圖譜、供應鏈安全分析、供應鏈集成推薦一體化設施,打造服務全球的開源代碼知識圖譜和開源軟件供應鏈體系,保障軟件供應安全和產業創新發展。目前,“源圖”平臺已在202211月發布2.0版本,累計發現超過80萬個存在維護性風險的項目;24萬個存在許可證沖突的項目;773 個被“投毒”成功的項目,其中已獲得145PyPI漏洞編號,12Kernel漏洞編號。本次研究成果顯著拓展了“源圖”平臺的能力,在開源合規分析上超越了國外同類競品,可為開源項目全球范圍的大規模推廣應用提供合規性支撐。 

     許可證沖突分析工作流程

     

     

     

  • <u id="saeeq"><wbr id="saeeq"></wbr></u>
  • <s id="saeeq"><div id="saeeq"></div></s>
  • <u id="saeeq"></u>
  • <u id="saeeq"><noscript id="saeeq"></noscript></u>
  • <s id="saeeq"></s>
  • 久久久综合香蕉尹人综合网