手机、电脑的常用软件以及通信、能源等关键领域的专业软件，都使用了大量“开源代码”，即开发者公开分享的代码片段。这类“共用代码”能大幅加快软件开发速度，但也极容易隐藏漏洞甚至被植入“病毒”，进而引发数据泄露、系统瘫痪等风险。

近日，致力破解这一全球难题的可信开源代码库，在位于东西湖的国家网络安全人才与创新基地（下称国家网安基地）正式上线并开放试用。

项目负责人华中科技大学网络空间安全学院副教授文明介绍，平台涵盖关键开源代码筛选、安全治理、风险预警与应急响应等功能，提供数据平台、开源治理、安全预警三大核心服务。

可信开源代码库项目核心服务器依托国家网安基地云服务。

“打个比喻，它是开源代码的‘安检站’‘预警站’和‘严选商城’。严把从进入到使用的各关键环节，精准阻断风险，保障软件开发供应链整体安全。”

文明介绍，之所以称为“安检站”，是因为代码库自研了一套供应链漏洞检测系统，涵盖11种编程语言，梳理出超8000万个组件的完整依赖关系，目前识别这些组件的准确率达到95％，处于国内领先水平。”

高准确率来自海量基数，据悉，团队已累计从全球海量开源代码中，感知漏洞数据超200万条，清洗合并后超35万条。

可信开源代码库风险预警平台。

平台架构师骆训召介绍，可信开源代码库还会和国内最大的漏洞库联动，自动生成风险清单，帮助用户精准找到有漏洞的组件，“开源代码‘预警站’平台已集成21个行业投毒威胁库，基本全覆盖通信、金融、能源等社会生产服务主导行业，积累超4万条多语言恶意代码样本与攻击特征，这些病毒被‘画像’后，一旦露面就会被迅速‘通缉’。”

据悉，项目开发至今已完成5万余个开源软件安全检测发现，300多个高可疑漏洞。

“之所以叫‘严选商城’，是因为经过筛选整治并通过安全检查的开源代码，才能入库。”骆训召表示，目前已入库5000多个符合标准的开源代码，基本覆盖软件开发的底座代码和关键代码，用户还可查询代码的全景数据，放心使用，合规使用。

据悉，可信开源代码库运行以来，注册用户已超500万人。

“国家网安基地是可信开源代码库的‘最强后盾’，给予了强大的技术、数据与人才支持。”据骆训召介绍，项目核心服务器依托国家网安基地云服务，带宽≥20Gbps，具备1Tbps级DDoS攻击防御能力，可抵御每秒上亿条恶意访问，保障多人同时查询不卡顿，实现24小时稳定运行。

同时，项目联合国家网安基地内的国家计算机网络与信息安全管理中心湖北分中心，以及多家网安龙头企业，汇总各方开源漏洞，建成业内最大的“漏洞数据库”之一，在漏洞露面几分钟内就预警，帮助用户在1小时内着手修复，避免大规模损失。

此外，项目依托国家网安基地搭建起“全国性人才梯队”，联合全国31所网安院校，建立了“开源白帽人才库”，并定期举办挑战赛，让这些人才在实战中积累经验，成为优秀的开源代码“安检员”。

可信开源代码库已开放使用。

“目前，可信开源代码库已在中国移动、某军工单位等50余家单位试用，覆盖6个关键基础设施行业，还有6家单位启用高阶定制服务。”金银湖实验室相关负责人表示，可信开源代码库预计在明年底正式走向市场，期待通过市场化、产业化反哺国家网安基地。

“可信开源代码库”已正式开放，可访问官网tcode．com．cn体验试用！