日期 2025/08/15

在全球化技术竞争与数字化转型加速的背景下，开源供应链安全已成为关乎国家数字主权和产业发展的战略议题。2025年8月3日下午，由CCF开源发展技术委员会开源供应链安全工作组策划组织（华为云PaaS技术创新Lab主任梁广泰博士、华为云供应链安全专家谈心博士和东北大学王莹副教授联合出品）的2025 CCF中国开源大会 “自主可控开源供应链安全技术” 分论坛 成功举办！

为应对这一挑战，安全补丁定位技术应运而生，其核心思路是通过计算漏洞描述与提交Commit之间的语义或词汇相似性实现将公开披露的漏洞（如CVE条目）与其对应的代码修复补丁进行准确关联。然而，现有的这些方法（包括PatchScout、VCMatch和PatchFinder等）在工业级应用中存在显著局限：

本次论坛中， CCF开源供应链安全工作组秘书长、华为云PaaS技术创新Lab主任梁广泰博士作为策划人，组织邀请了CCF开源供应链安全工作组多位高校和头部企业专家，汇聚了38位高校和头部企业专家与学者，共同探讨了大模型时代下自主可控开源供应链安全技术的构建之道。该论坛希望进一步组织国内供应链安全领域专家形成合力，共同构建安全可控的供应链安全保障技术底座，探索并保障可持续的开源软件供应链安全发展路径，进而推动国内 “自主可控、安全可信”的开源软件生态构建。

之后，华为云PaaS技术创新Lab软件分析研究员谈心博士进行了《基于AI的隐匿漏洞补丁识别及工业场景应用》的技术报告。谈博聚焦于软件供应链安全分析的前沿场景——隐匿漏洞补丁检测，系统介绍了近年来隐匿漏洞识别技术的发展脉络，重点总结了近期业界如何融合大语言模型能力在工业场景下进行隐匿漏洞补丁识别效果提升方面的技术发展路径。最后谈心博士详细介绍了华为云在上述场景下的技术算法创新孵化、落地实践效果及相关体会。

随后，华中科技大学网络空间安全学院文明副教授分享了《面向开源软件及生态的智能化安全威胁分析》的技术报告。文老师分享了由华中科技大学牵头搭建的可信开源代码仓管理平台，以及该平台上搭载的开源风险检测技术，包含面向已知开源漏洞的安全威胁评估、漏洞函数智能化定位、以及漏洞补丁代码智能化匹配等多个维度。该平台将持续牵引合作单位，并面向开源社区，吸引国内各领域用户，助力国内自主开源软件生态的构建。

在介绍完前沿技术进展后，论坛将目光聚焦于开源软件风险现状分析。奇安信科技集团股份有限公司高级专家董国伟博士报告了《国内开源软件供应链安全现状分析》的议题，针对国内企业在软件开发中自主开发的源代码、基于的开源软件生态、使用的开源组件等的安全状况进行深入分析。此外，他还针对智能网联汽车关键部件的固件和开源大模型推理框架软件，分别进行了软件供应链安全风险分析和攻击实例验证分析的介绍。随着大模型及其开发框架的开源，围绕LLM供应链安全方向也逐步爆发了安全风险，相关领域需引起业界专家关注并投入技术保障。

来自东北大学的王莹副教授则重点分析了AI组件的合规现状，带来了《AI供应链的安全风险与法律合规治理初探》报告。本报告聚焦智能软件中AI组件的成分识别，对现有开源AI模型的License法律条款特征和兼容性问题进行了深入的实证研究，发现了向当前AI开源社区在License方面存在的诸多问题，为大模型时代下AI供应链的治理路径提供实践参考。

最后，华为云PaaS技术创新Lab主任梁广泰博士作为Panel主持人，组织与会嘉宾围绕开源生态断裂风险等问题展开圆桌论坛。与会嘉宾就大模型时代下的供应链安全问题和安全防控技术展开了深入讨论。针对如何利用LLM Agent技术提升开源软件供应链安全保障技术、如何围绕大模型应用相关供应链安全方面如何进行安全技术布局等展开了深入的技术交流与思想碰撞。

本次分论坛内容丰富、视角前沿，全面呈现了开源供应链安全从技术突破、实践应用到生态建设的多维探索，充分体现出该领域的研究深度与产业广度，也为构建自主可控、安全可靠的开源供应链提供了宝贵的技术经验与战略思考输入。