2023年2月16日,由中国信息通信研究院、中国电信、中国移动、中国联通、中国铁塔联合主办的“首届ICT软件供应链安全治理论坛暨信息通信软件供应链安全社区第二届成员大会”在北京成功举办。经过领域专家研究论证,由我实验室杨珉教授、张源副教授和谈心博士等人研发的“基于漏洞代码提交关联性排序的开源软件漏洞修复补丁定位方法”荣获“科学研究文献成果奖”。
在“软件定义一切”的当今世界,人民生活、国家发展,各行各业与软件息息相关。但当前软件供应链安全问题对关键信息基础设施保护、数字产业高质量发展带来巨大挑战。为了探索软件供应链安全治理问题,在工业和信息化部网络安全管理局指导下,由六家企事业单位(中国信通院、中国电信、中国移动、中国联通、中国铁塔、奇安信)发起筹建的信息通信软件供应链安全社区应运而生。2022年11月,社区举办了“软件供应链优秀成果案例”征集活动,面向学术界和工业界广泛征集优秀研究成果,吸引到了中国移动通信设计院、中国电信研究院、中国联通研究院、华为、中兴等数十家行业领军企业和北京大学、复旦大学等多所高校的参与。
实验室积极响应社区号召,以供应链安全治理中有迫切需求和影响力的漏洞修复为切入口,根据以往学术研究积累,以“基于漏洞代码提交关联性排序的开源软件漏洞修复补丁定位方法”为题,申报“科学研究文献成果奖”。该研究致力于解决当前开源软件漏洞补丁信息缺失,导致下游用户无法及时修复安全漏洞的问题,并提出了一种智能化的漏洞补丁定位方法。该方法通过提取漏洞与代码提交的关联特征并使用深度学习模型基于与漏洞的关联性对代码提交进行排序,从而获得漏洞对应的修复补丁推荐结果。本工作获得的漏洞修复补丁,能有效填补当前公开漏洞库中漏洞补丁信息的缺失,为下游软件的漏洞修复过程提供重要的基础资料,极大程度改善了当前供应链场景下漏洞难以修复的问题。2022年末,我实验室以线上答辩的方式,向评审专家组介绍了成果具体内容,经专家研究论证,获评“科学研究文献成果奖”。
本项目相关研究成果发表在国际网络安全顶级会议CCS’21上。在实践过程中,该成果帮助国际知名漏洞数据库NVD发现 120 条补丁信息错误,并补充了88条漏洞的漏洞信息,得到了NVD维护组织的认可。
(转载自 复旦白泽战队公众号)