11月9日下午举行的2022年世界互联网大会乌镇峰会开源技术生态创新发展论坛上，由中国科学院软件研究所、中科南京软件技术研究院建设的开源软件供应链重大基础设施“源图2.0”正式发布。这标志着该重大基础设施建设取得重要阶段性成果，为国内开源软件可靠供应链构建提供了有效支撑。

　　近年来，软件及信息技术产业迅猛发展，伴随着开源软件自身的开放性、高质量、灵活性等特点，基于开源软件开发已成为新一代软件开发模式。与此同时，国内开源软件供应链风险事件却频频发生，使用开源软件所面临的威胁也日益突出。

　　针对开源软件可靠供应问题，2021年3月，在南京市支持下，国内首个开源软件供应链重大基础设施平台“源图”在南京麒麟科创园正式启动建设，旨在应对开源软件供应中的风险，突破软件领域关键核心技术，建设国内首个开源软件采集存储、开发测试、集成发布、运维升级一体化设施，打造服务全球的开源代码知识图谱和开源软件供应链体系，保障软件供应安全和产业创新发展。

　　中科院软件研究所研究员吴敬征介绍，去年9月发布的“源图1.0”构建了开源软件供应链知识图谱，首次将可维护性分析、安全性分析、合规性分析等功能同时引入平台。如今，升级版“源图2.0”已集成超千万的开源项目，实现了针对软件的推理、预测、推荐等多重功能。

　　“源图2.0”包括合规性分析、安全性分析、可维护性分析、供应链推荐四大核心功能，目前已累计获取、分析开源软件超过1000万款，构建了开源软件知识图谱，实体数量达到4643万，关系数量超过6.5亿条。此外，还实现了3256种开源许可证的冲突关系图谱构建，发现超过20万个项目存在合规性风险，707个项目被“投毒”成功，其中114个漏洞已获得正式编号，56个漏洞面向公众公开，占全球已公开PyPI投毒相关漏洞比例的96%。

　　值得一提的是，“源图2.0”还能实现智能软件供应链推荐，已覆盖操作系统、大数据、金融、人工智能等12个行业场景。以工业软件供应链为例，“源图2.0”建立了超1.9万个工控物联网固件的固件分析数据集，共发现漏洞22万余次，其中高危漏洞约占20%。在对国家关键基础设施领域风险检查方面，发现漏洞、病毒等安全威胁1500余个。今年10月，“源图”成功入选“南京市2022年软件和信息服务优质应用场景名单”。

　　当天活动现场，同时发布了开源软件供应链技术白皮书，以及包括软件合规性分析等在内的12种功能场景，为全社会提供开源软件供应链基础设施平台支撑。