开源已成为全球多技术领域创新主流模式,在全球核心技术领域生态体系中,大前端领域开源软件项目占比高达97%,人工智能、区块链、操作系统等领域开源软件项目占比也超过80%,开源逐渐改变软件领域的竞争方式和市场格局。因此,对开源生态的多维度治理(安全、合规、供应链、优选、评估等维度),就成为了保障产品和软件质量、安全的关键所在。
当前工业界在开源软件生态治理及开源社区生态治理上已有了大量探索,学术界对于如何对开源生态治理提出了诸多先进的理论和实践,同时,在开源基金会及标准组织中也有了大量的规范标准共同来定义开源生态治理的要素,而这些优秀的理论、实践、标准,如何更有效的结合,实现对开源生态真正有效的治理,本分论坛旨在邀请学术界和工业界嘉宾围绕开源生态治理的理论、方法、关键技术、最佳实践开展研讨,为我国建立可持续发展的健康的开源生态提供支持。欢迎关注开源生态治理的专家和学者前来参加。
01
论坛组织委员会
周明辉(北京大学)
高亮(华为)
黎立(北京航空航天大学)
02
论坛议程
03
论坛报告嘉宾简介
陈碧欢
报告题目:以数据为中心的开源漏洞治理
报告摘要:
开源软件已上升为国家级战略,对于信创产业、国民经济、国防与国家安全等发挥着重要的支撑作用。然而,由于开源漏洞的普遍存在,开源软件供应链的安全性受到了严峻的挑战。本报告将介绍团队在以数据为中心的开源漏洞治理方面的探索与思考,主要包括漏洞数据的知识增强,以及漏洞数据在软件供应链安全方向的实际应用。
报告人简介:
陈碧欢,复旦大学计算机科学技术学院副教授。主要研究方向包括软件供应链、智能网联汽车、ai系统工程等。主持两项国家自然科学基金项目和多项企业合作项目,参加科技创新2030-“新一代人工智能”重大项目。研究成果发表在icse、fse、s&p、sec、ccs、tse、tifs等国际会议和期刊,获nasac青年软件创新奖、3次acm sigsoft杰出论文奖(fse2016、ase2018、ase2022)、2次ieee tcse杰出论文奖(icsme2020、saner2023)。基于相关研究成果,研制了开源风险治理平台伏羲(http://www.se.fudan.edu.cn/fuxi/),入选中国信通院2023年度软件供应链优秀自主研发创新成果案例。risc-v指令集是近年来体系结构和基础软件领域关注的热点,其先进、简洁、共享共治的特性吸引了全球众多学术机构和产业界的参与。指令集作为软硬件的接口规范,是生态的起始原点,基础软件是一个新指令集生态能否成长并繁荣的关键。当前risc-v生态中操作系统、编译工具链和运行时环境等基础软件的发展现状如何,面临哪些机遇和挑战?本报告将从软件供应链的角度,给出中科院软件所在这方面的思考和相关实践,以及未来布局的展望。
谭鑫
报告题目:开源社区新手加入研究
报告摘要:
开源开发模式的核心在于构建一个由持续贡献者驱动的创新生态,但其持续发展面临挑战:高准入门槛与贡献者高流动性限制了新手的广泛加入及核心团队的壮大。鉴于此,探究如何有效促进新手的融入与长期参与,成为保障开源项目活力与可持续性的核心议题。本报告聚焦于开源社区新手加入机制及其成长路径,深入剖析了新手成长过程中的关键因素,如初阶任务推荐、专家指导、社区培养机制等的作用,并探索了人工智能技术在这一领域的应用潜力。通过分享我们近期在这一系列问题上的研究成果,本报告旨在为开源社区提供一套旨在提升新手引导效率、加速其成长为稳定贡献者的实践指南与理论支撑,从而为开源项目的长期繁荣奠定坚实基础
报告人简介:
谭鑫,2021年于北京大学获得理学博士学位,现为北京航空航天大学计算机学院助理教授,硕士生导师。担任软件工程专委执行委员、开源发展委员会执行委员。研究兴趣主要集中在软件存储库挖掘、实证软件工程,以及开源软件开发。已在软件工程顶级期刊、会议icse、fse、tse、tosem上发表20多篇论文。主持国家自然科学青年基金项目,并作为骨干参与多项国家级项目,担任icse、fse、tse等会议、期刊审稿人
项曙明
报告题目:开源安全有效治理研究与实践
报告摘要:
开源社区纷繁复杂,开源软件管控各异,开源安全问题层出不穷,企业如何通过有效可信的开源软件供应链管控流程和机制,确保企业分发的软件产品安全、可信,并在此基础上构建有效可信的安全公告,以确保企业全生命周期软件供应链的安全可信,提升外部客户和监管机构的安全信任度。希望在此方面的一些研究和尝试,能给有此诉求的企业有所借鉴。
报告人简介:
中兴通讯开源合规&安全治理总监、ecpoc,在开源许可证合规、ear合规、开源安全管控和风险应对等领域具有丰富的实践经验。资深产品经理、研发过程改进专家、资深合规专家,长期从事企业级产品经营、研发过程、规范规范及过程管控系统的讲究与建设,致力于企业级开源可信供应链管控机制的建设与落地运营。 信通院可信开源供应链资深咨询评估师、开源治理标准专家、信通院优秀标准专家、可信开源治理讲师、金融开源治理社区技术专家。开源社正式成员,2022年中国开源先锋33人之心尖上的开源人物、天工开物基金会toc成员。
高恺
报告题目:pypi软件包源代码仓库的自动定位与验证
报告摘要:
随着复用第三方软件包在软件开发中越来越普遍,及时识别第三方软件包的风险对软件开发的质量保障愈发重要。软件包的源代码仓库中记录了丰富的开发活动数据,被广泛地用于识别第三方软件包中的各类风险。然而,由于大部分编程语言社区如pypi采取开发平台与分发平台分离的第三方软件包管理策略,准确定位第三方软件包的源代码仓库并非易事。现有工具普遍从pypi软件包的元数据中检索软件包的源代码仓库地址,受限于元数据中信息错误和缺失的问题。为此,我们提出了基于元数据和源代码的pypi软件包源代码仓库溯源技术pyradar,针对元数据中信息错误的局限,使用软件包和源代码仓库之间的文件差异来验证从元数据中检索到的源代码仓库地址的正确性;针对元数据中信息缺失的局限,使用软件包中python文件的哈希值,从大规模源代码仓库索引world of code中检索软件包的源代码仓库地址。实验结果表明pyradar可以更加准确全面地定位到pypi软件包的源代码仓库地址。未来我们将继续探索其他第三方软件包生态的源代码仓库溯源问题。
报告人简介:
高恺,博士,北京科技大学计算机与通信工程学院特聘副教授。他于2019年和2024年分别在北京大学获得学士学位和博士学位。研究主要围绕开源软件供应链展开,利用各种数据分析方法从大规模软件仓库数据中挖掘开源软件供应链管理和维护的良好实践,并研发支撑工具。研究成果发表在tse、tosem、icse、fse等顶级期刊会议上。受邀担任ase、icse等国际会议程序委员会委员,emse、jsep、ase journal等国际期刊审稿人。
晋武侠
报告题目:面向升级冲突的安卓操作系统架构建模与优化
报告摘要:
随着软件生态蓬勃发展,现代软件系统不再是单主体的系统,而是通过复用和扩展形成的上下游多主体协同演化的复杂系统,例如定制化的android。下游安卓厂商通过扩展上游google aosp以深度定制系统功能,形成各自定制化的android版本(例如samsung galaxy, oneplus, oppo find)。随着每次aosp 新版本发布,厂商需定期将 aosp 中的最新变更集成到它们定制化的android版本中,实现android升级。由于aosp 和厂商的android版本独立进行管理与开发,因此android 升级不可避免导致兼容性问题和冲突,供应商已经投入了大量精力来解决这些问题。本报告将从架构的视角,将此问题定义为 “原生-伴生”架构的建模与优化,提出了系列方法用于定位致使升级冲突频发的根因,缓解安卓系统演化面临的升级冲突频发、升级周期难掌控、升级质量难保障的风险。相关研究工作得到了国内安卓合作厂商的支持。
报告人简介:
晋武侠, 西安交通大学,副教授,硕导博导。主要研究方向包括代码分析、软件架构治理、智能软件工程,应用在移动操作系统、微服务等大规模复杂软件及其生态。2020年3月获得西安交通大学计算机博士学位,同年5月入职西安交通大学软件学院。主持国家自然科学青年基金、面上基金、企业合作研究等项目,相关成果发表在tse、ase、icse等软件工程领域的国际会议和期刊。担任tse、tosem、jss等国际期刊审稿人,担任ase、issre、msr等国际会议程序委员会委员。获得2022年陕西省百篇优博
王莹
报告题目:开源软件生态治理:全面、辩证、长远
报告摘要:
开源软件生态覆盖全栈技术领域:指令集架构、操作系统、软件供应链和应用。面对开源软件生态复杂的演化行为和趋势,研究首先要有全局观,从软件供应链生态的视角去全面分析与发现问题,用辩证的视角去解决问题,用长远的视角治理问题。本报告从若干种程序语言生态的依赖地狱谈起,以跨语言软件生态为视角分析开源社区的全局演化特点,以跨平台软件生态迁移视角讨论软件的长效治理。作为青年教师浅谈每个话题,更多希望跟业界专家学习交流未来的研究挑战
报告人简介:
王莹博士,现为东北大学软件学院副教, ccf开源发展委员会委员, ccf 女工委委员。荣获微软研究院铸星计划访问学者(2020)、中国计算机学会优秀博士论文提名奖(2020)、辽宁省优秀博士论文奖(2021)、 acm sigsoft 杰出论文奖(icse 2021、esec/fse 2023)。主要研究方向为智能软件开发技术、开源软件生态治理技术、软件供应链分析等。在多种程序语言软件生态(包括java/c#/python/go/javascript/android/rust等)治理方面发表系列学术成果,形成系列工具平台“英雄联盟”lol自动化监控开源软件生态的依赖缺陷。多项技术落地于华为、微软、龙芯等企业平台和openharmony开源社区。担任ieee transactions on software engineering期刊编委,chinasoft 2023-2024软件工程女性论坛主席,saner 2023 tool track联合主席,“计算之美”2021博士生论坛主席等,热衷参与学术活动以鼓励计算机领域女性“研究媛”和“程序媛”坚持科研梦想。
高亮
报告题目:openharmony社区开源许可证兼容性合规实践
报告摘要:
随着开源生态的蓬勃发展,产业界对于开源项目的使用占比越来越高,但其中质量参差不齐,低质量的开源项目,给商用产品带来了极大的风险与隐患,因此,产业界进而对于开源项目自身的合规治理的期望也越来越高,而openharmony开源社区作为在国内开源的大型开源项目,在国内贡献者本身对于开源合规经验较少的情况下,如何能有效应对开源合规风险,本次重点介绍社区在开源许可证兼容性方面进行的实践探索,提出了一种能够结合软件编译框架信息,运行时信息的自动分析技术,提升在开源合规许可证兼容性检测方面的准确率和全面性。
报告人简介:
高亮,华为终端开源治理技术专家,具有多年的开源社区治理与企业内部开源管理经验,现任openharmony社区合规sig leader、openharmony社区开源合规代表、openharmony安委会-供应链来源安全与可信工作组成员,曾担任linux networking下opnfv开源社区tsc member、yardstick项目ptl、committer
04
论坛组织委员会简介
论坛主席:周明辉
个人简介:
周明辉,北京大学计算机学院教授,副院长,北大博雅特聘教授,国家杰出青年基金获得者,ccf开源发展委员会副主任,acm csoft主席。主要研究方向是开源软件、数据分析和智能推荐。在国际顶级期刊和会议等发表100多篇论文。多次获国际acm杰出论文奖。两次获国家技术发明二等奖。是软件工程国际顶级会议ase 2024的pc co-chair等。著名国际期刊emse、jss等的编委。主持开发的木兰宽松许可证mulanpsl被70万 开源代码仓采纳。
论坛主席:高亮
个人简介:
高亮,华为终端开源治理技术专家,具有多年的开源社区治理与企业内部开源管理经验,现任openharmony社区合规sig leader、openharmony社区开源合规代表、openharmony安委会-供应链来源安全与可信工作组成员,曾担任linux networking下opnfv开源社区tsc member、yardstick项目ptl、committer。
论坛主席:黎立
个人简介:
黎立,北京航天航天大学教授,荣获msr 2023 ric holt青年研究成就奖,曾入选澳大利亚2020年优秀青年基金(decra),被评为全球前三最有影响力的青年软件工程研究人员。主要研究方向为移动软件工程、智能软件与软件安全等,累计发表高水平期刊和会议论文150余篇,谷歌学术引用超7000次(h-index为41),获得最佳/杰出论文奖励10项,包括2项acm sigsoft杰出论文奖、2项ieee tcse杰出论文奖、1项acm sigplan杰出论文奖等。受邀担任中科院一区期刊(acm computing survey)编委以及包括tosem、tse、icse、esec/fse、ase、issta在内的ccf a类期刊和国际会议的审稿人,多次受邀在国际会议上作特邀报告。
