2025 CCF中国开源大会
2025年8月2日-3日,由中国计算机学会(CCF)主办,CCF开源发展技术委员会、上海交通大学承办的2025 CCF中国开源大会在上海召开。作为中国开源领域的年度标杆盛会,本届大会以“蓄势引领、众行致远”为主题,汇聚了来自高校、科研机构、企业的顶尖专家学者与开源领军人物,围绕开源操作系统、开源芯片、开源大模型等核心领域展开深度探讨。
OpenChain标准实践:AI时代
开源软件供应链安全合规论坛
在开源生态快速发展的当下,开源合规与供应链安全是当前科技界关注的重点话题。8月3日下午,在2025 CCF中国开源大会上,字节跳动主办的"OpenChain标准实践:AI时代开源软件供应链安全合规"分论坛在上海成功举办。本次会议致力于推动OpenChain国际标准的广泛应用与实践,全面提升开源软件供应链的管理水平与效能。分论坛由OpenChain中国社区主席、字节跳动开源法务负责人孙振华担任主席。
本次论坛汇聚了法律专家、企业代表、SCA 工具厂商代表等嘉宾,围绕AI时代背景下的开源合规与安全管理议题展开深入探讨,旨在通过分享基于OpenChain标准的最佳实践,探索建立高效、可靠的开源软件供应链管理体系,以确保企业在拥抱开源的同时实现合规运营,有效降低安全风险。通过一系列主题演讲与案例分享,论坛为业界提供了可行的合规流程与风险管控方案,致力于推动产业协作,共同应对开源生态面临的挑战,为开源软件产业的健康、可持续发展贡献力量。
分论坛主席开场致辞
孙振华 OpenChain中国区主席
分论坛主席孙振华在开场致辞中指出,AI技术的迅猛发展正深刻重塑软件供应链。他表示,AI与开源生态的深度融合为软件行业注入了前所未有的创新活力,但同时也带来了安全与合规管理方面的挑战。他期望本次论坛能通过对OpenChain标准的深入探讨,凝聚业界共识,共同探寻AI时代下开源安全与合规管理的最佳实践路径。
嘉宾致辞
Shane Coughlan OpenChain 总经理
OpenChain项目总经理Shane Coughlan带来了题为《合规性@AI速度》的报告。他指出,OpenChain项目的核心使命是通过制定标准、指南和参考材料,构建一个更值得信赖的开源供应链。在本次报告中,他重点介绍了该项目在开源许可证合规与安全保障方面已建立的ISO标准,并分享了这些标准在全球范围内的广泛应用。Coughlan先生强调,OpenChain项目当前正着眼于未来,积极投身于人工智能(AI)合规性和软件物料清单(SBOM)质量等前沿领域的研究与标准制定工作,旨在通过社区协作,为一个更安全、更透明的技术未来贡献力量。
主题演讲1:AI+开源安全:
新时代的风险与机遇
薛植元 安势科技CEO
安势科技创始人兼CEO薛植元的报告主题是《AI+开源安全:新时代的风险与机遇》,指出AI与开源深度融合虽带来便利,但也伴随着日益严峻的安全风险与治理挑战。报告重点介绍了如何利用“代码基因图谱”等AI技术,为软件供应链安全与合规构建新范式。这有助于企业更精准地溯源、智能分析并预测漏洞,从而赋能更主动、更智能的网络安全防护体系。
主题演讲2:企业供应链安全管理实践
唐天龙 蚂蚁集团安全专家
蚂蚁集团安全专家唐天龙带来报告《企业供应链安全管理实践》。他指出,软件供应链面临着上游代码漏洞、恶意代码植入(投毒)、依赖混淆攻击等多种威胁,其核心挑战在于构建一个可信、可观测的体系。在本报告中,他重点介绍了蚂蚁集团的解决方案,该体系通过情报采集分析、可信制品仓库、分级防控、软件出生证明以及组件可达性分析等手段,应对供应链安全风险。报告还强调了蚂蚁自研的统一多语言程序分析技术作为底层支撑,并视“软件出生证明”与“可信分级防控”为整个可观测体系的基石,旨在为企业提供全面的供应链安全保障。
主题演讲3:AI时代软件和
大模型供应链治理的困境与出路
陶冶 国浩律师(南京)事务所合伙人
国浩律师(南京)事务所合伙人陶冶带来报告《AI时代软件和大模型供应链治理的困境与出路》。他提出生成式AI的广泛应用,确实给软件供应链带来了违约、侵权和信息泄露等多重风险。他通过深入解读多个真实案例,分析了企业在利用AI工具时,可能因违反服务条款或不当使用数据而引发商业纠纷,甚至构成不正当竞争。因此,平衡企业的自主经营权与行业公认的商业道德,对于在AI时代实现合规治理至关重要。
主题演讲4:AI时代的软件供应链安全:合规趋势与技术实践
王安宇 云安全联盟大中华区 Fellow & CTO
王安宇带来报告《AI时代的软件供应链安全:合规趋势与技术实践》。他指出,随着AI技术的快速发展,软件供应链安全面临新的挑战与机遇。在本报告中,他重点分析了AI+软件+开源的创新发展模式,探讨了AI时代软件供应链面临的安全挑战,并提出了“AI+供应链安全的双循环”解决方案。企业应通过“安全左移”重构开发流程,利用AI大模型增强安全检测,将安全从成本中心转化为价值引擎。
主题演讲5:企业开源合规管理实践
孙珊珊 字节跳动开源法务
字节跳动开源法务孙珊珊带来报告《企业开源合规管理实践》。她指出,企业可以基于OpenChain ISO/IEC 5230:2020国际标准建立体系化的开源合规管理流程,这对于有效管理软件供应链开源合规风险和建立社区信任至关重要。其中详细介绍了构建开源治理的组织、制度与培训体系,以及覆盖软件全生命周期的自动化合规管理流程。这项实践为企业在利用开源技术进行产品开发和创新时,提供了系统性的合规治理与风险管理方案。
本次分论坛通过多元视角的碰撞与深度交流,展现了OpenChain标准在实践中的创新应用,为AI时代开源软件供应链安全合规提供了前瞻性的思路与可落地的解决方案。未来,随着技术生态的持续演进,开源合规与供应链安全将成为企业创新发展的重要基石。期待行业各方以此次论坛为契机,深化协作、共享经验,共同构建更加透明、可信、安全的开源软件供应链生态,为数字经济的高质量发展注入持久动力。
往期推荐
点击阅读原文 进入GitLink开源创新服务平台