本文转载自
2024 CCF中国软件大会筹办工作推进系列【十五】:软件供应链安全论坛 by 智能软件工程重点实验室
软件已经渗透到国民经济和国防建设的各个领域,成为了当代信息社会的重要基础设施。然而,复杂的软件供应链引入了一系列安全问题,软件供应链安全事故频频发生。目前,软件供应链安全已经上升至国家级战略,对于信创和软件产业、国民经济、国防与国家安全等发挥着重要的支撑作用。全球多国也陆续发布了软件供应链安全相关的规划与政策。因此,面向软件生命周期的各个环节,发展软件供应链安全分析与保障技术,提升我国软件和信创产业的自主、可控与安全,是工业界和学术界的必由之路。本次论坛将邀请来自企业的业界专家以及来自高校的研究学者共同围绕该话题进行专题报告和讨论,分享工业界和学术界研究与实践的最新发展,共同探讨未来的发展趋势。
01
论坛组织委员会
陈碧欢(复旦大学)
陈 森(天津大学)
余 跃(国防科技大学)
黄凯锋(同济大学)
彭 鑫(复旦大学)
张宇霞(北京理工大学)
02
论坛议程
论坛时间:2024年11月16日
论坛地点:陕西省西安高新国际会议中心
03
论坛报告嘉宾简介
武延军
报告题目:“源图”开源软件基础设施最新进展
报告摘要:
开源软件是当前软件技术创新和产业发展的主流模式。中国科学院软件研究所持续建设“源图”开源软件基础设施,为建设安全可靠的软件供应链体系提供有效支撑。本次报告围绕“源图”在开源生态安全治理方面的最新进展,重点介绍在开源代码漏洞挖掘、供应链投毒检测、开源合规性检测等方面的实践工作。
报告人简介:
中国科学院软件研究所副所长、总工程师,研究员、博士生导师,CCF杰出会员、CCF开源发展委员会执行委员。担任OpenHarmony社区TSC委员、openEuler社区常务委员,开放原子基金会开源安全委员会主席。主持多项基础软件领域国家级重大任务。当前主要研究方向是开源软件供应链与RISC-V基础软件。
邹德清
报告题目:开源软件智能安全检测研究
报告摘要:
团队长期面向大规模开源代码开展漏洞智能检测研究工作,在国际上首次提出基于深度学习的细粒度智能检测方法,并围绕智能漏洞检测研究多类型漏洞检测、智能漏洞检测框架、细粒度漏洞定位、模型解释性和模型健壮性等方面的工作。在基于深度学习的智能漏洞检测基础上,团队研发了金银湖代码安全大模型,进一步开展基于大模型的智能漏洞检测与修复。
报告人简介:
华中科技大学二级教授、博士生导师、华中科技大学网络空间安全学院执行院长,武汉金银湖实验室主任。长江学者特聘教授,国家网络安全优秀教师,教育部新世纪优秀人才,中央网信办网信委专家。分布式系统安全湖北省重点实验室主任,武汉市网安基地校企联合会会长,教育部网络空间安全教学指导委员会委员,全国网络安全标准化技术委员会委员。在安全四大顶会、软工系列顶会发表论文40余篇,其中开源软件智能漏洞检测工作被CCF A类会议/期刊广泛引用,获教育部技术发明一等奖1项、湖北省科技进步一等奖2项、中国电子学会科技进步二等奖1项。
杨丽蕴
报告题目:软件物料清单(SBOM)标准化研究与实践
报告摘要:
数字化时代,软件的重要性和软件供应链安全问题的严峻性已成为各方共识。软件物料清单(Software Bill of Materials,简称SBOM),是安全业界公认的遏制软件供应链风险的最佳方案之一,实施SBOM可以有效增强软件供应链的可见性,帮助降低各类安全方面的问题。电子标准院对包括美国、欧盟等国家和地区的SBOM相关政策情况开展调研,并对国外SBOM相关标准进行研究。结合我国产业界需求,从供给侧和需求侧开展SBOM现状分析,基于电子标准院前期开展的开源标准体系工作,研制SBOM标准子体系。整体围绕SBOM是什么、怎么建、怎么用三大需求,从数据格式、技术实现、应用实施三个方向开展具体标准研制,解决软件供应链风险管理问题。
报告人简介:
中国电子技术标准化研究院,云计算研究室主任。长期从事信息技术领域标准化工作,主持推进云计算国家标准制修订、开源标准化研究等工作,牵头开展云计算综合标准化体系建设及指南制定,主导和参与20余项术语、参考架构、云原生、边缘云、云际、中间件、运营交付、企业上云等国家标准、行业标准以及云计算开源技术团体标准,推动发起制定我国云原生、边缘云、开源许可证等一批前沿领域的首个国家标准计划。国内自主木兰开源社区和木兰开源许可证的核心发起人和主导人之一,牵头推进开源社区建设运营及相关标准化和技术研究工作。
张超
报告题目:高效智能化二进制软件供应链分析
报告摘要:
相比于源代码程序,二进制软件缺失符号等大量信息,其软件供应链分析面临独特挑战。另一方面,二进制软件可能与上游源代码不一致,可能同时包含上游开源和闭源组件,可能被植入后门,可能存在上游已知漏洞等,因此二进制软件供应链分析具有更要意义。业界提出了二进制代码语义相似性检测技术,用于解决上述应用需求。然而,现有的检测技术在二进制代码语义的理解和表示上存在不足,导致在海量代码场景下的检测精度不高且检测速度慢。本次报告中,报告人将分享其团队提出的机器语言大模型MLM解决方案,以及其面向海量代码检测的优化方案。
报告人简介:
清华大学网络研究院副院长,长聘副教授,华为冠名教授,蓝莲花战队教练。曾获得清华大学学术新人、国家级青年人才、MIT TR35 China、求是杰出青年学者、CCF杰出会员、日本大川奖等荣誉。主要研究软件和系统安全、人工智能安全。研发的自动攻防系统获得DARPA CGC初赛防御第一、决赛攻击第二。研发国际首个机器语言大模型MLM,支持二进制程序分析和转写,支持智能攻防。研发大量创新的漏洞挖掘方案,在主流系统软件中发现数千个未知漏洞;提出体系化的漏洞防护方案,支持软硬件协同的0day未知漏洞防护。
马超
报告题目:汽车软件供应链安全与开源治理
报告摘要:
随着汽车智能化和网联化的不断发展,软件定义汽车的趋势日益明显,汽车行业正经历着前所未有的变革,从传统的机械驱动、硬件为主的制造模式,向以软件为核心、数据为驱动的智能生态系统转变。本报告将探讨当前汽车软件开发中所面临的供应链安全挑战,以及开源软件在汽车行业中的广泛应用所带来的治理问题。报告从体系和产品两个方面展开,综合性提出一套基于SBOM的治理框架和治理策略,并建议企业使用更具有安全性和灵活性的DevSecOps研发模型,以建立严格的供应链安全保障机制、实施开源软件的合规性审查流程、以及加强各组织之间的安全协作。
报告人简介:
中汽数据信息安全室主任,兼任工信部网络安全监督审查专家,主要从事智能网联汽车网络安全和数据安全等方面的研究工作。参与建设工信部车联网产品漏洞专业库与车联网网络信任支撑平台,参与研究编制《自愿性产品认证实施规则-汽车(信息安全)》,参与建设中国汽车信息安全共享与分析中心(C-AUTO-ISAC)等。主持或参与国家级省部级重大科研专项10余项,累计发表汽车信息安全领域论文20余篇,授权发明专利30余项,获得省部级科技成果一等奖1项。
陈森
报告题目:可信软件供应链治理平台SCTruster
报告摘要:
随着开源软件的蓬勃发展,在软件定义一切的时代,软件供应链安全已上升至国家战略高度。针对可信软件供应链治理需求越来越大的现状,基于天津大学软件供应链安全团队CodeSecLab在理论和应用方面的研究工作,例如在基础理论和基础数据等理论方面的研究工作,以及在软件供应链漏洞检测、验证、修复等应用方面的研究工作,构建了可信软件供应链治理平台SCTruster,提供面向多业务场景的全栈式安全防护技术服务。本次报告将和大家分享该平台相关技术及应用成果。
报告人简介:
天津大学网络安全学院英才副教授/特聘研究员,博导。曾任新加坡南洋理工大学科研助理教授,荣获CCF-A类国际会议最佳论文奖6次(ICSE 2018, ICSE 2021, ASE 2022, ICSE 2023, ASE 2023, FSE 2024),省部级科技进步一等奖,互联网+全国金奖,挑战杯全国金奖。荣获ACM天津新星奖,入选**人才。其研究领域为软件与系统安全,主要研究方向为软件供应链安全,聚焦漏洞和恶意软件的研究,发表CCF-A类论文50余篇,承担国自然面上/青年/**重点等项目10余项,相关供应链安全防护技术落地在国家电网、中汽中心、华为公司等知名企业和关键场景。担任IEEE S&P/ACM CCS/USENIX Security/ICSE/FSE/ASE/ISSTA/OOPSLA等程序委员会成员。
04
论坛组织委员会简介
论坛主席:陈碧欢
个人简介:
复旦大学计算机科学技术学院副教授。主要研究方向包括软件供应链、智能网联汽车、AI系统工程等。主持两项国家自然科学基金项目和多项企业合作项目,参加科技创新2030-“新一代人工智能”重大项目。研究成果发表在ICSE、FSE、S&P、SEC、TSE、TIFS等国际会议和期刊,获NASAC青年软件创新奖、3次ACM SIGSOFT杰出论文奖(FSE2016、ASE2018、ASE2022)、2次IEEE TCSE杰出论文奖(ICSME2020、SANER2023)。基于相关研究成果,研制了开源风险治理平台伏羲(http://www.se.fudan.edu.cn/fuxi/),入选中国信通院2023年度软件供应链优秀自主研发创新成果案例。
论坛主席:陈森
个人简介:
天津大学网络安全学院英才副教授/特聘研究员,博导。曾任新加坡南洋理工大学科研助理教授,荣获CCF-A类国际会议最佳论文奖6次(ICSE 2018, ICSE 2021, ASE 2022, ICSE 2023, ASE 2023, FSE 2024),省部级科技进步一等奖,互联网+全国金奖,挑战杯全国金奖。荣获ACM天津新星奖,入选**人才。其研究领域为软件与系统安全,主要研究方向为软件供应链安全,聚焦漏洞和恶意软件的研究,发表CCF-A类论文50余篇,承担国自然面上/青年/**重点等项目10余项,相关供应链安全防护技术落地在国家电网、中汽中心、华为公司等知名企业和关键场景。担任IEEE S&P/ACM CCS/USENIX Security/ICSE/FSE/ASE/ISSTA/OOPSLA等程序委员会成员。
论坛主席:余跃
个人简介:
国防科技大学副研究员,AITISA联盟算力网络推进组组长,OpenI启智开源平台运营中心主任,CCF开源发展委员会常务委员,主要从事开源软件、群体智能、云计算等相关领域的研究工作,在CHI、CSCW、TSE、ICSE、FSE、ASE等软件领域国际重要会议和期刊发表论文50余篇,获得ACM SIGSOFT杰出论文奖1次、IEEE TCSE杰出论文奖1次,作为技术负责人牵头开展我国新一代人工智能规划重点开源社区OpenI启智社区基础平台、算力标准与生态建设。
论坛主席:黄凯锋
个人简介:
同济大学预聘助理教授。2022年博士毕业于复旦大学计算机科学技术学院,导师为彭鑫和陈碧欢。2022年至2024年,在复旦大学同团队任博士后研究员。研究兴趣包括软件工程、软件供应链安全、软件演化,至今在ICSE、ASE、FSE、ICSME、EMSE等软件工程领域内知名会议和期刊发表共11篇研究论文,其中一作5篇,部分研究成果在企业内部实现落地。曾获得ACM SIGSOFT杰出论文奖(ASE 2018)、IEEE TCSE 杰出论文奖(ICSME 2020)、CCF原型工具竞赛二等奖(2018、2020)、复旦大学超级博士后等荣誉与称号。曾主持中国博士后科学面上基金项目、2022 CCF-华为胡杨林软件工程专项基金项目。
论坛主席:彭鑫
个人简介:
复旦大学计算机科学技术学院副院长、教授。CCF杰出会员、软件工程专委会副主任、开源发展委员会常务委员,上海市计算机学会青工委主任,《Journal of Software: Evolution and Process》联合主编,《ACM Transactions on Software Engineering and Methodology》、《Empirical Software Engineering》、《Automated Software Engineering》、《软件学报》等期刊编委。2016年获得NASAC青年软件创新奖。主要研究方向包括软件智能化开发、云原生与智能化运维、泛在计算软件系统、智能网联汽车基础软件等。研究工作多次获得IEEE Transactions on Software Engineering年度最佳论文奖、ACM SIGSOFT/IEEE TCSE杰出论文奖等奖项。担任2022年与2023年CCF中国软件大会(ChinaSoft)组织委员会主席与程序委员会共同主席,以及ICSE、FSE、ASE、ISSTA、ICSME、SANER等会议程序委员会委员。带领复旦大学CodeWisdom研究团队开展软件智能化开发与运维以及软件供应链治理平台的研究,研究成果在多家大型企业进行了实践应用。
论坛主席:张宇霞
个人简介:
北京理工大学计算机学院助理教授,硕士生导师。研究领域包括开源软件开发及生态可持续、实证软件工程、智能软件开发。在ICSE、FSE、TSE、TOSEM、ESEM等顶级会议和期刊上发表论文20余篇。主持国家自然科学基金青年项目和国防科技重点实验室项目,并作为单位第一负责人参与国家自然科学基金重点项目。受邀担任国际顶级期刊TSE、TOSEM、EmSE的审稿人,担任国际FSE2023、ICSE2024程序委员会委员,担任ASE 2024 Review Process共同主席等。获得ICSE 2022杰出论文奖、ESEC/FSE 2023杰出论文奖。
排版|王骏飞
审核|彭 鑫 陈碧欢
如有侵权请联系:admin#unsafe.sh