软件供应链安全：开源生态的隐形防线（2025年度“上海硅巷创新说 ”）

“我们希望，通过社区的力量，去不断地让我们的软件更加完善。”

7月17日下午，在2025年度“上海硅巷”创新说活动中，上海安势信息技术有限公司市场总监王峰带来了题为《软件供应链安全洞察、挑战及探索》的精彩分享。

王峰，威斯康星大学麦迪逊分校电子工程学士、宾夕法尼亚大学电子工程硕士学位，曾担任美国有线电视运营商Comcast高级软件工程师，负责网络自动化软件开发等工作。回国后加入安势信息，深度参与国内外开源互动及国内多项开源标准制定。

在分享中，王峰直言，当下开源组件潜藏安全风险，随着开源技术广泛应用，软件供应链安全形势愈发复杂严峻，像ChatGPT就可能引入有风险的代码。他介绍，SBOM（软件物料清单）是开源风险管理基石，可利用AI+知识图谱构建开源软件基因图谱确保溯源准确。王峰以软件供应链安全为切入点，指出在开源理念普及下，企业风险提升、“伪国产”频发，“安全”与“合规”是关键。他还分享了上海安势的解决方案，强调通过社区共建推动开源生态安全发展，提升行业治理能力。

【上海硅巷】

7月17日下午，2025年度“上海硅巷”创新说第二讲“开源free style”暨油条咖啡开源读书会活动在华阳街道社区文化活动中心举行。活动以“开源free style”为主题，邀请了来自科技界、产业界、法律界等领域的六位专家进行分享，共同探讨如何通过开源理念推动跨领域协作和创新。

“上海硅巷”科创街区，东至江苏路，南至延安西路，西至凯旋路，北至长宁路 – 愚园路，中间以武夷路、定西路为十字支撑，致力于打造成为一站式新双创街区。这里不仅是百年传承的开放创新生态，更是深化“科创中国”建设的“进阶版”，是助力高质量发展的长宁实践场景。

由长宁区科学技术委员会、长宁区科学技术协会、华阳路街道办事处、上海新微科技集团有限公司等单位主办，上海艺术品博物馆（上海市科普基地）承办的“创新说”，旨在以科学家讲创新成果、谈创新感悟，激发创新思维、营造创新氛围。自2023年起至今年7月，“创新说”活动已成功举办7讲，分别围绕“科学求真”“科技向善”“创新唯美”“新青年&黑科技”“问题VS方法”“新人论@包容城市”“人机江湖”等话题，先后邀请近50位专家分享了自己的创新故事，受到社会广泛关注。

作为本次活动的支持单位，油条咖啡开源读书会，由上海开源信息技术协会培育，成立于2022年，是一个以开源文化、技术哲学与数字时代阅读为核心的社群，倡导“用开源的方式解构知识，用社区的力量重构认知”，进一步连接技术思想与人文阅读，通过定期线下读书分享讨论，探索开源背后协作精神、技术伦理与创新思维。

区科协学会部洪嫣表示，区科协将进一步学习习近平总书记今年考察上海重要讲话精神，贯彻落实市委十二届七次全会和区委十一届十次全会精神，继续立足学术创新交流职责，搭建多元主体“参与、协商、共治、融合”的对话交流平台，汇聚创新智慧，激发创新思维，探索创新模式，促进创新发展，在上海硅巷培育“高浓度科创文化”，全方位展现长宁上下凝心聚力、奋发有为，奋力打造具有世界影响力的国际精品城区的生动局面。

【企业简介】

安势信息作为国内领先的AI+软件供应链安全治理工具提供商，专注于构建完整的DevSecOps工具链，围绕软件全生命周期（SDLC），以大模型、多维探测和底层引擎开发等为技术内核，推出一系列具有完全自主知识产权的应用安全产品：清源CleanSource SCA（软件成分分析）、清正CleanBinary（二进制代码扫描）、清流PureStream（AI风险治理平台）、清本CleanCode SAST（静态代码扫描）、企业开源治理咨询服务等，并与腾讯、阿里巴巴、字节跳动、百度、中兴通讯、小米、荣耀、vivo、工信一所、公安三所、中国电信、宝马等行业头部客户达成长期深度合作，构建自适应企业的敏捷开发路径，降本提效，打造软件供应链安全最佳实践。

安势以上海总部为核心辐射长三角，并在北京、深圳、西安等多地设有分支机构。是2024年高新技术企业、2024年度上海市“专精特新”中小企业，入选2024年上海市创新产品推荐目录、2024年度上海制造业数字化产品和解决方案推荐目录、2024年度上海市网络安全产业创新攻关成果目录、2024年度上海市重点产业和领域数字化产品和解决方案推荐目录、上海市工业互联网安全能力图谱暨产业全景图、2024年国家工业信息安全发展中心的软件物料清单（SBOM）工作组成员单位、中国技术先锋年度榜单“中国新锐技术先锋企业”等。