(資料圖)

科技日報記者 張曄

8月21日，國內首個開源軟件采集存儲、開發測試、集成發布、運維升級等一體化設施“源圖3.0”在2023中國（南京）國際軟件產品和信息服務交易博覽會上正式發布。這是由中國科學院軟件研究所、中科南京軟件技術研究院共同建設的開源軟件供應鏈重大基礎設施平臺，將打造服務全球的開源代碼知識圖譜和開源軟件供應鏈體系，保障我國軟件供給安全和產業高質量發展。

如何以供應鏈的思路和方法去組織規模龐大、組成復雜、來源多樣的開源軟件，提供高質量、低風險、可持續演進的開源軟件供應鏈，關系到我國當前和未來IT科研、產品與生態的核心競爭力。

為了把更多的開源軟件納入供應鏈管理，在應對開源軟件供應鏈風險的同時，集成更多的關鍵技術和核心算法，支撐更廣泛的科研和業務需求，2021年3月，中國科學院軟件研究所在南京啟動建設“源圖”開源軟件供應鏈重大基礎設施。

2021年9月，“源圖1.0”亮相世界互聯網大會烏鎮峰會，構建了開源軟件供應鏈知識圖譜，首次將安全性分析、合規性分析、可維護性分析等功能引入平臺；2022年11月，“源圖2.0”在世界互聯網大會烏鎮峰會上發布，集成了超千萬個開源軟件，實現了針對軟件的推理、預測、推薦等多重功能。對比“源圖1.0”創始基石版和“源圖2.0”擴展進階版，“源圖3.0”定位垂直專精版，新增SBOM+、跨生態軟件分析、開源安全治理、“源圖”生態建設等4大核心功能，提供面向行業的創新應用支撐。

“源圖3.0”的發布，標志著開源軟件供應鏈重大基礎設施建設取得重要階段性進展，為建設自主可控、安全可靠的軟件供應鏈體系提供了有效支撐。

基于海量代碼知識化等關鍵核心技術，“源圖3.0”累計獲取分析開源軟件超過1.4億款，已建成國內規模最大的開源軟件知識圖譜，實體數量超過1.8億條，關系數量超過26億條，代碼行數超過1900億行，累計發現存在維護性風險、合規風險、安全風險的項目超百萬個，實現了代碼缺陷檢測、固件檢測、漏洞感知等創新應用。

據介紹，“源圖”深度支持兩個最大的國產操作系統根社區開源歐拉和開源鴻蒙，以及國內首個自主開源基金會開放原子開源基金會，全面支撐中國科學院計算機網絡信息中心、國家互聯網應急中心等重點單位以及華為、阿里等龍頭企業的創新需求。

以操作系統漏洞感知為例，“源圖”實現了對“歐拉”全版本 9000多個開源組件的漏洞自動化識別、跟蹤和管理，2022年向“歐拉”推送有效漏洞數量超過7000個，達到其漏洞總數的96.5%。2023年“源圖”開始向“龍蜥”提供漏洞情報，助力“龍蜥”提升漏洞感知能力。

“源圖”的建設，得到了江蘇省、南京市和江寧區以及麒麟科創園在政策、資金、載體等方面的大力支持。

關鍵詞：