(资料图)

如何以供应链的思路和方法去组织规模庞大、组成复杂、来源多样的开源软件，提供高质量、低风险、可持续演进的开源软件供应链，关系到我国当前和未来IT科研、产品与生态的核心竞争力。

为了把更多的开源软件纳入供应链管理，在应对开源软件供应链风险的同时，集成更多的关键技术和核心算法，支撑更广泛的科研和业务需求，2021年3月，中国科学院软件研究所在南京启动建设“源图”开源软件供应链重大基础设施。

2021年9月，“源图1.0”亮相世界互联网大会乌镇峰会，构建了开源软件供应链知识图谱，首次将安全性分析、合规性分析、可维护性分析等功能引入平台;2022年11月，“源图2.0”在世界互联网大会乌镇峰会上发布，集成了超千万个开源软件，实现了针对软件的推理、预测、推荐等多重功能。对比“源图1.0”创始基石版和“源图2.0”扩展进阶版，“源图3.0”定位垂直专精版，新增SBOM+、跨生态软件分析、开源安全治理、“源图”生态建设等4大核心功能，提供面向行业的创新应用支撑。

“源图3.0”的发布，标志着开源软件供应链重大基础设施建设取得重要阶段性进展，为建设自主可控、安全可靠的软件供应链体系提供了有效支撑。

基于海量代码知识化等关键核心技术，“源图3.0”累计获取分析开源软件超过1.4亿款，已建成国内规模最大的开源软件知识图谱，实体数量超过1.8亿条，关系数量超过26亿条，代码行数超过1900亿行，累计发现存在维护性风险、合规风险、安全风险的项目超百万个，实现了代码缺陷检测、固件检测、漏洞感知等创新应用。

据介绍，“源图”深度支持两个最大的国产操作系统根社区开源欧拉和开源鸿蒙，以及国内首个自主开源基金会开放原子开源基金会，全面支撑中国科学院计算机网络信息中心、国家互联网应急中心等重点单位以及华为、阿里等龙头企业的创新需求。

以操作系统漏洞感知为例，“源图”实现了对“欧拉”全版本 9000多个开源组件的漏洞自动化识别、跟踪和管理，2022年向“欧拉”推送有效漏洞数量超过7000个，达到其漏洞总数的96.5%。2023年“源图”开始向“龙蜥”提供漏洞情报，助力“龙蜥”提升漏洞感知能力。

“源图”的建设，得到了江苏省、南京市和江宁区以及麒麟科创园在政策、资金、载体等方面的大力支持。