2024年3月12日，“开源生态与软件供应链研讨会”在上海复旦大学江湾校区成功举办。本次研讨会依托于国家自然科学基金重点项目“开源软件可信性分析与保障方法”，同时也是CCF开源发展委员会开源供应链安全工作组“走进高校”活动的第一期活动——“走进复旦大学”。

本次研讨会由复旦大学计算机科学技术学院副院长、开源供应链安全工作组委员彭鑫教授担任主席，由复旦大学计算机科学技术学院副教授陈碧欢主持。

本次研讨会不仅吸引了来自复旦大学、国防科技大学、天津大学、阿里云、上海中金所技术公司的专家进行线下研讨，而且通过线上平台吸引了诸多高校和企业专家的参与，总参会人数共计80余人。

本次研讨会首先由天津大学陈森老师带来了“软件供应链代码安全检测与验证关键技术”的报告。陈老师介绍了其团队在静态应用安全测试SAST和软件成分分析SCA的一系列研究进展，探讨了深度学习和大语言模型如何赋能漏洞数据增强，最后展望了动态安全漏洞验证方法和恶意行为剖析方法对软件供应链安全的保障。

随后，国防科技大学的余跃老师以“OpenI启智：新一代人工智能开源社区初步实践”为题进行了分享。余老师详细介绍了中国算力网，其目标是构建自主创新的技术与标准体系，建设覆盖智算中心、超算中心、数据中心等大型异构算力资源互联互通、协同调度与高效计算的国家级算力基础设施。余老师还展示了OpenI启智开源社区如何依托中国算力网为底座，为开发者建立一个高效协作的开源服务环境。

接着，阿里云操作系统实验室技术专家郑耿老师带来了“龙蜥社区软件供应链安全体系建设之路”的报告。郑老师首先介绍了龙蜥的软件研发流程以及安全研发流程，然后分享了龙蜥的软件供应链安全能力建设，包括SBOM、上游健康度模型等基础数据建设，以及供应链安全知识图谱、统一签名服务、可重复构建、大规模代码克隆检测等核心能力建设，最后对如何夯实数据底座和持续构建安全能力进行了展望。

随后，复旦大学张源老师以“开源代码漏洞治理”为题进行了分享。张老师首先概述了其团队在多层次软件系统漏洞挖掘的一系列研究工作，并以人脸识别认证漏洞和移动操作系统供应链漏洞为例进行了详细介绍。张老师还介绍了漏洞数据增强方面的工作，包括影响版本、危害性、修复补丁等，并介绍了补丁部署等漏洞治理技术。

最后，复旦大学软件工程实验室的吴苏晟硕士生带来了“开源漏洞数据治理”的技术分享。吴同学首先探讨并分析了现有漏洞库的质量问题及其对软件供应链安全治理的影响，然后详细介绍了开源漏洞质量增强方面的多个工作，包括漏洞补丁的自动定位、漏洞影响组件及其版本的自动识别方法等，最后对开源漏洞数据治理进行了未来展望。

在报告分享环节之后，本次研讨会邀请了复旦大学彭鑫教授、天津大学李晓红教授、天津大学陈森副教授、国防科技大学张迅晖助理研究员、阿里云操作系统实验室技术专家郑耿等5位老师和专家进行了Panel讨论，就“软件供应链安全保障的被动应对与主动防御”、“大语言模型对软件供应链的机遇与挑战”、“高校和企业的分工合作与协同发展”展开了深入的探讨，并与参会人员进行了充分的交流。

CCF ODC更多动态请见：gitlink.org.cn/zone/CCF-ODC