当前,全球开源生态发展迅猛,主流代码托管平台上开源项目数超4亿。以操作系统、数据库、AI框架等为代表的基础软件生态加速成熟,开源软件在信息技术创新技术体系中正成为关键支撑底座。然而开源组件质量参差不齐、依赖关系复杂、合规风险、安全漏洞等隐患日益突出,开源软件供应链的安全形势愈发严峻。
在4月21日举行的第五届中国国际软件发展大会上,“面向开源软件全生命周期的供应链综合评估平台——链源罗盘”作为重要成果发布。该平台是业界首个面向开源软件全生命周期的供应链综合评估平台,覆盖了软件质量、安全性、合规性、可持续性和可信度5大评估模型,助力开源供应链更透明、更安全、更可持续的演化。
中国软件行业协会常务副秘书长陈宝国、麒麟软件副总经理李祥凯、北京航空航天大学软件学院院长胡春明、中国科学院软件研究所副所长武延军、工信部电子五所北京中心主任冯冠霖、国防科技大学计算机学院某中心主任余杰、openKylin社区生态委员会主任李震宁出席发布仪式。
为落实国家《“十四五”软件和信息技术服务业发展规划》中“提升软件供应链安全保障能力”的号召,麒麟软件联合国防科技大学、北京航空航天大学、工信部电子五所、中国科学院软件研究所、上海交通大学、国家工业信息安全发展研究中心、国网湖北公司等单位,共同承担国家重点研发计划《开源开放社区软件供应链生态分析》项目,围绕开源软件供应链生态问题开展应用验证,“链源罗盘”正是该项目的阶段性核心成果。
一键评估,多维分析
链源罗盘平台支持输入开源软件名称,一键生成供应链可靠性评估报告。报告从组件依赖关系、代码与依赖质量、供应链抗风险能力、合规与法律风险、开发者活跃度与项目更新等多个维度进行综合评估开源项目的整体可靠性,为企业核心组件选型、社区开源治理、供应链风险审计等场景提供关键支撑。
全面覆盖,全程守护
目前,平台已基于Github、Gitee等代码托管平台主流开源项目形成150万条依赖关系、33万条漏洞信息收录、200万+开发者画像分析,3万+项目综合评估,并构建openKylin和openEuler 2个可信仓库,实现了“源代码分析—二进制文件评估—可信仓库构建—商业发行版构建”的全流程闭环。
目前,开源模式已成为全球技术创新的主流方向,中国开源项目数量已位居全球第二,供应链安全正成为行业关注的焦点。“链源罗盘”的发布,将汇聚政府、企业、高校及科研机构等多方力量,为提升国内开源生态成熟度及全球影响力提供坚实支撑,推动开源软件使用向安全化、合规化、自主化迈进。