7月7日,在BCS 2023北京網(wǎng)絡安全大會-信創(chuàng)安全論壇上,中國工程院院士、中國科學院計算技術研究所研究員倪光南發(fā)表了《開源軟件供應鏈安全》主題演講。演講中他表示,我國目前還存在開源供應鏈安全被卡脖子的現(xiàn)象,保障開源軟件安全的關鍵在于保障開源供應鏈安全,要加強開源軟件供應鏈基礎設施平臺的建設與運營。
倪光南表示,當前開源已成為商業(yè)軟件的主要成分,開源成分在各行業(yè)代碼庫中的占比從46%-83%,總計開源成分占到了被審代碼庫的70%,且行業(yè)越新,比重越大,開源開始引領全球新興信息技術的創(chuàng)新。
但當前國際局勢動蕩不安,再加上迄今為止大多數(shù)開源基金會所支持的開源項目,業(yè)界通行的開源許可證和代碼托管平臺等等,往往都被海外學術界和產(chǎn)業(yè)界所主導。
因此倪光南認為,軟件安全涉及到網(wǎng)絡安全、數(shù)據(jù)安全、信息安全、供應鏈安全。與專有軟件相比,開源軟件的代碼受到全世界開發(fā)者的共同審視,其應用也得到世界上眾多用戶的檢驗,所以開源軟件安全的關鍵,就在于保障開源供應鏈安全,即使是自主開發(fā)軟件,也要重視開源軟件供應鏈安全。
如何更好保護開源軟件供應鏈安全,倪光南介紹了由中科院軟件所和中科南京軟件研究院聯(lián)合研發(fā)的開源軟件供應鏈基礎設施平臺“源圖”。這是國內(nèi)首個開源軟件采集存儲、開發(fā)測試、集成發(fā)布、運維升級等一體化設施,有效保障了我國軟件供應安全、產(chǎn)業(yè)創(chuàng)新發(fā)展和開源軟件供應鏈安全。
倪光南表示,“源圖”具有合規(guī)性分析、安全性分析、可維護性分析和供應鏈推薦四大核心功能,憑借這些強大功能“源圖”已累計獲取、分析開源軟件超過1000萬款,構建了開源軟件知識圖譜,實現(xiàn)了軟件信息、依賴關系的知識化處理,清晰展示了軟件、漏洞、開發(fā)者、開發(fā)活動、開源事件等關鍵信息 比如在科研場景當中,“源圖”已在中國科學院計算機網(wǎng)絡信息中心進行應用,基于源圖提供的API研發(fā)科研軟件供應鏈管理工具,評估了信息、基礎前沿、海洋等8個領域相關軟件,優(yōu)化科研軟件基礎設施資源池。
再比如工業(yè)軟件領域,應用“源圖”已經(jīng)建立了包括19,313個工控物聯(lián)網(wǎng)固件的固件分析數(shù)據(jù)集,共發(fā)現(xiàn)漏洞223,605個,其中高危漏洞47,479個;獲得工控物聯(lián)網(wǎng)行業(yè)原創(chuàng)漏洞89個,達到了業(yè)內(nèi)先進水平。
最后倪光南表示,希望借助信創(chuàng)安全論壇的東風,在開放原子基金會、開源安全專委會等組織的協(xié)調(diào)下,聯(lián)合國內(nèi)安全界、開源界產(chǎn)學研單位,共同做好開源軟件供應鏈安全的工作。
相關數(shù)據(jù)顯示,目前我國開源軟件開發(fā)者數(shù)量已經(jīng)突破800萬,居全球第二位。軟件開發(fā)者成果需要安全保障軟件業(yè)務收入首次躍上10萬億元臺階。全年累計完成軟件業(yè)務收入達到108126億元,同比增長11.2%,已成為支撐我國數(shù)字經(jīng)濟高質(zhì)量增長的又一引擎。
(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。 )