Forrester研究表明:应用软件 80%~90% 的代码已来自于开源组件。开源供应链为企业提供了大量“免费午餐”,但开源漏洞的存在也给企业带来了严峻的安全风险。开源漏洞层出不穷,一个小小的安全漏洞(如Log4j远程代码执行漏洞)却足以搅动整个软件或互联网产业发生地震(进行大面积库升级或替换以缓解安全危机)。开源漏洞从“被初始发现”到“被用于针对企业项目进行漏洞预警与治理”之间仍存在较大的空档期。而该空档的存在,恰恰成为了黑客利用开源漏洞作案的绝佳时机。基于“开源大数据”进行智能挖掘与洞察,快速感知开源安全漏洞并进行精准漏洞影响范围通知及安全响应,可大大降低上述时间空档并成为未来开源组件使用场景的有力安全保障。 本论坛将围绕开源漏洞挖掘、漏洞信息精化、漏洞智能修复相关技术组织最新技术分享与研讨,如开源安全现状分析、1-day/0-day开源漏洞挖掘及识别技术、开源漏洞精准影响分析技术、开源漏洞治理技术、二级制代码开源漏洞定位技术等。
时间 | 议程 | 主持人/演讲嘉宾 |
---|---|---|
面向公开/隐匿开源漏洞的智能化分析与挖掘技术 | 梁广泰 | |
开源安全:挑战、解决方案和机遇 | Liu Yang | |
数据库软件安全漏洞测试技术 | 姜宇 | |
开源漏洞在二级制代码中的定位技术 | 霍玮 | |
数据驱动的开源代码漏洞治理 | 张源 | |
供应链中开源软件的安全现状分析 | 董国伟 |
华为云软件分析Lab负责人, 智能化开发服务Leader
报告摘要:现代软件开发大量复用开源软件,软件开发效率得以极大提升,与此同时也面临严峻的开源风险攻击。围绕开源三方库,快速感知开源安全漏洞并进行精准漏洞影响范围通知及安全响应,将成为未来商业产品的有力安全保障。围绕上述场景,本报告拟聚焦数据驱动的高效开源漏洞挖掘相关技术展开介绍,首先围绕近期学术界、工业界相关前沿技术进行洞察分析,之后介绍华为云围绕公开/隐匿开源漏洞分析技术的相关探索与进展。
个人简介:梁广泰,华为云PaaS技术创新Lab软件分析子Lab 负责人。14年初获得北京大学计算系博士学位,之后入职IBM中国研究院担任研究员职位。16年5月加入华为工作至今,带领团队先后围绕代码缺陷检测与修复、开源成分分析与治理、代码智能同步/重构/移植等方向成功孵化多项智能化开发服务并规模化落地。至今已发表top会议期刊论文30余篇(含ICSE/FSE/ASE/OOPSLA等),曾获FSE最佳论文奖,先后担任一系列软工Top国际会议PC Member/Chair等角色(含ICSE/OOPSLA/ISSRE等)。
教授、博导
报告摘要:开源软件(OSS)在软件开发中越来越流行,以简化和缩短开发周期。然而重用开源软件也带来了OSS漏洞被过度放大的安全风险。最近,OSS漏洞如Log4Shell和Spring4Shell漏洞的频繁爆发以及供应链攻击,也证明了保护开源软件或更大范围的开源软件供应链的紧迫性。因此,需要立即对整个 开源软件 供应链中的潜在风险进行识别、管理、补救和治理。本报告将聚焦开源软件供应链,依次介绍其面临的技术挑战、解决方案及潜在机遇。本次演讲我们将讨论易受攻击的软件供应链的严峻形势,以及我们在保护开源软件环境方面面临的挑战。我们还将展示我们最近在保护开源软件供应链方面所做的努力和解决方案,包括我们在软件组件分析 (SCA)、开源软件供应链分析、许可证相关风险管理、基于人工智能的安全漏洞分析方面的技术,以及我们更大的范围使用开源软件以及相应的开发团队的健康档案来管理开源软件。我们还强调了开源软件安全的潜在机会,并呼吁在这个方向进行研究。
个人简介:刘杨,新加坡南洋理工大学计算机学院教授/博导,NTU网络安全实验室主任、HP-NTU公司实验室项目主任以及新加坡国家卓越卫星中心副主任,于2019年荣获大学领袖论坛讲席教授。刘杨博士专攻软件验证,软件安全和软件工程,其研究填补了形式化方法和程序分析中理论和实际应用之间的空白。至今已在Top顶会期刊上发表了超过400篇文章,ASE、FSE、ICSE等顶级软件工程会议上获得20项最佳论文奖以及最具影响力软件奖。
副教授、博导
报告摘要:模糊测试是一种极为有效的缺陷和漏洞检测技术,将模糊测试技术应用于整个数据库系统,对提升数据库系统质量和系统安全有着极其重要的意义, 但是在实际应用中,依然存在三个突出难点:无法监测覆盖信息, 无法高效生成有效输入,无法监测程序异常情况。本报告将围绕数据库系统测试的现状和上述难点展开,介绍数据库模糊测试的关键技术和研究实践。
个人简介:姜宇,清华大学软件学院副教授,博导。重点关注数据库、内核、工控等软件系统的安全,利用程序分析与模糊测试等技术,进行软件缺陷的自动挖掘与理解。在广泛使用的系统软件(Linux, Safari, Openssl,Postgresql等)中挖掘数百个漏洞被收录入中美国家信息安全漏洞库。相关自动化漏洞挖掘技术成果被谷歌,华为,微软合并应用,以第一作者或通讯作者在ACM SOSP, IEEE S&P, USNIX Security等知名会议和期刊上发表论文80余篇,并获EMSOFT,ICSE-SEIP等会议的最佳论文或提名奖6次。
研究员、博导
报告摘要:开源软件被广泛的用于软件制品中,因此开源软件中的漏洞也随着软件的复用而引入到软件制品中。准确分析软件制品二进制代码中开源软件的成分,是发现开源漏洞的一种重要方法。在本报告中,将分享我们近年来围绕库级、版本级、函数级的开源成分分析与识别相关的研究进展,并展望该方向的技术发展趋势。
个人简介:霍玮,中国科学院信息工程研究所研究员、博导,中国科学院青年创新促进会成员,信工所优秀引进人才,中科院朱李月华优秀教师奖。主要研究领域包括软件漏洞挖掘和利用、软件供应链安全分析、软件及数据安全评测、基于大数据及知识图谱的软件安全分析等。迄今为止主持和参与项目40余项。在国内外高水平会议和刊物上已发表学术论文40余篇(包括S&P、Usenix Security、CCS、ICSE、ASE、TSE、DSN、CGO等)并已申请专利20余项。
副教授、博导
报告摘要:由于主流软件普遍采用多分支、多版本的开发和发布模式,开源代码的漏洞治理严重依赖于高质量的漏洞信息。同时,由于不同分支/版本之间的代码差异、开源软件供应链上下游之间的代码定制化,开源代码的漏洞修复和评估也面临诸多挑战。本次报告将会系统性地介绍漏洞影响范围、漏洞危害性、漏洞补丁等关键漏洞信息分析技术,以及依托于高质量的漏洞数据如何开展可靠的漏洞补丁部署和漏洞修复评估。
个人简介:张源,复旦大学计算机科学技术学院副教授、博导,主要研究方向为软件安全、程序分析、安全攻防技术。入选国家高层次青年人才计划,曾获ACM SIGSAC中国新星奖、USENIX Security杰出论文奖等荣誉。担任多个安全顶会PC委员及编委、软件学报专刊特邀编委。带领团队获得2020/2021全国大学生信息安全竞赛创新实践能力赛冠军,2019/2020全国高校网安联赛(X-NUCA)团队赛/个人赛双冠军,发现的多个软硬件高危漏洞得到华为、腾讯、蚂蚁金服、百度、谷歌等公司致谢。
高级专家
报告摘要:基于团队的漏洞和缺陷分析能力,针对国内企业自主开发的源代码、开源软件生态、国内企业软件开发中开源软件使用等的安全状况,以及典型应用系统开源软件供应链安全风险实例进行深入分析,并总结趋势和变化。此外,还特别针对“关键基础开源软件”的依赖情况、开源软件中容易利用漏洞的分布、开源许可协议风险等方面进行了深入分析和统计。通过多维度、详实的数据反映软件供应链及开源软件的安全状况。
个人简介:董国伟,奇安信科技集团股份有限公司高级专家、副研究员、博士。主要研究方向为软件供应链安全、软件安全开发、软件漏洞分析等。主持或作为核心成员参与国家级、省部级项目10余项;联合出版《软件漏洞分析技术》、《软件供应链安全:源代码缺陷实例剖析》等专译著6部;曾多次荣获省部级科技进步二等奖等奖项;作为核心成员完成2021年度和2022年度《中国软件供应链安全分析报告》系列报告,在相关领域期刊和会议上发表论文20余篇。