CNCC|如何巧用数据智慧与开源漏洞斗智斗勇?
CNCC|如何巧用数据智慧与开源漏洞斗智斗勇?
CNCC2022将于12月8日至10日在贵州省贵阳市国际生态会议中心举办,今年CNCC技术论坛数量达到122个,内容涵盖了“计算+行业、人工智能、云计算、教育、安全”等30个方向。本文特别介绍将于12月8日举行的【数据驱动的开源漏洞挖掘与修复】研讨会。
报名及了解更多技术论坛信息请识别下图二维码进入CNCC2022官网。目前早鸟票限时优惠报名正在进行,抓住机会立享大幅优惠!
Forrester研究表明:应用软件 80%~90% 的代码已来自于开源组件。开源供应链为企业提供了大量“免费午餐”,但开源漏洞的存在也给企业带来了严峻的安全风险。开源漏洞层出不穷,一个小小的安全漏洞(如Log4j远程代码执行漏洞)却足以搅动整个软件或互联网产业发生地震(进行大面积库升级或替换以缓解安全危机)。开源漏洞从“被初始发现”到“被用于针对企业项目进行漏洞预警与治理”之间仍存在较大的空档期。而该空档的存在,恰恰成为了黑客利用开源漏洞作案的绝佳时机。基于“开源大数据”进行智能挖掘与洞察,快速感知开源安全漏洞并进行精准漏洞影响范围通知及安全响应,可大大降低上述时间空档并成为未来开源组件使用场景的有力安全保障。
本论坛将围绕开源漏洞挖掘、漏洞信息精化、漏洞智能修复相关技术组织最新技术分享与研讨,如开源安全现状分析、1-day/0-day开源漏洞挖掘及识别技术、开源漏洞精准影响分析技术、开源漏洞治理技术、二级制代码开源漏洞定位技术等。
论坛安排
顺序 | 主题 | 主讲嘉宾 | 单位 |
1 | 开源安全:挑战、解决方案和机遇 | 刘杨 | 新加坡南洋理工大学 |
2 | 面向公开/隐匿开源漏洞的智能化分析与挖掘技术 | 梁广泰 | 华为云 |
3 | 数据库软件安全漏洞高效测试技术 | 姜宇 | 清华大学 |
4 | 开源漏洞在二级制代码中的定位技术 | 霍玮 | 中国科学院信息工程研究所 |
5 | 数据驱动的开源代码漏洞治理 | 张源 | 复旦大学 |
6 | 供应链中开源软件的安全现状分析 | 董国伟 | 奇安信 |
论坛主席
梁广泰
华为云 PaaS技术创新Lab软件分析子Lab负责人
14年初获得北京大学计算系博士学位,之后入职IBM中国研究院担任研究员职位。16年5月加入华为工作至今,带领团队先后围绕代码缺陷检测与修复、开源成分分析与治理、代码智能同步/重构/移植等方向成功孵化多项智能化开发服务并规模化落地。至今已发表top会议期刊论文30余篇(含ICSE/FSE/ASE/OOPSLA等),曾获FSE最佳论文奖,先后担任一系列软工Top国际会议PC Member/Chair等角色(含ICSE/OOPSLA/ISSRE等)。
论坛共同主席
刘杨
新加坡南洋理工大学 计算机学院教授/NTU网络安全实验室主任
HP-NTU公司实验室项目主任以及新加坡国家卓越卫星中心副主任,于2019年荣获大学领袖论坛讲席教授。刘杨博士专攻软件验证,软件安全和软件工程,其研究填补了形式化方法和程序分析中理论和实际应用之间的空白。至今已在Top顶会期刊上发表了超过400篇文章,ASE、FSE、ICSE等顶级软件工程会议上获得20项最佳论文奖以及最具影响力软件奖。
报告及讲者介绍
刘杨
新加坡南洋理工大学 计算机学院教授/NTU网络安全实验室主任
报告题目:开源安全:挑战、解决方案和机遇
开源软件(OSS)在软件开发中越来越流行,以简化和缩短开发周期。然而重用开源软件也带来了OSS漏洞被过度放大的安全风险。最近,OSS漏洞如Log4Shell和Spring4Shell漏洞的频繁爆发以及供应链攻击,也证明了保护开源软件或更大范围的开源软件供应链的紧迫性。因此,需要立即对整个 开源软件 供应链中的潜在风险进行识别、管理、补救和治理。本报告将聚焦开源软件供应链,依次介绍其面临的技术挑战、解决方案及潜在机遇。
梁广泰
华为云 PaaS技术创新Lab软件分析子Lab负责人
报告题目:面向公开/隐匿开源漏洞的智能化分析与挖掘技术
现代软件开发大量复用开源软件,软件开发效率得以极大提升,与此同时也面临严峻的开源风险攻击。围绕开源三方库,快速感知开源安全漏洞并进行精准漏洞影响范围通知及安全响应,将成为未来商业产品的有力安全保障。围绕上述场景,本报告拟聚焦数据驱动的高效开源漏洞挖掘相关技术展开介绍,首先围绕近期学术界、工业界相关前沿技术进行洞察分析,之后介绍华为云围绕公开/隐匿开源漏洞分析技术的相关探索与进展。
姜宇
清华大学软件学院 副教授
重点关注数据库、内核、工控等软件系统的安全,利用程序分析与模糊测试等技术,进行软件缺陷的自动挖掘与理解。在广泛使用的系统软件(Linux, Safari, Openssl,Postgresql等)中挖掘数百个漏洞被收录入中美国家信息安全漏洞库。相关自动化漏洞挖掘技术成果被谷歌,华为,微软合并应用,以第一作者或通讯作者在ACM SOSP, IEEE S&P, USNIX Security等知名会议和期刊上发表论文80余篇,并获EMSOFT,ICSE-SEIP等会议的最佳论文或提名奖6次。
报告题目:数据库软件安全漏洞测试技术
模糊测试是一种极为有效的缺陷和漏洞检测技术,将模糊测试技术应用于整个数据库系统,对提升数据库系统质量和系统安全有着极其重要的意义, 但是在实际应用中,依然存在三个突出难点:无法监测覆盖信息, 无法高效生成有效输入,无法监测程序异常情况。本报告将围绕数据库系统测试的现状和上述难点展开,介绍数据库模糊测试的关键技术和研究实践。
霍玮
中国科学院信息工程研究所研究员
中国科学院青年创新促进会成员,信工所优秀引进人才,获中科院朱李月华优秀教师奖。主要研究领域包括软件漏洞挖掘和利用、软件供应链安全分析、软件及数据安全评测、基于大数据及知识图谱的软件安全分析等。迄今为止主持和参与项目40余项。在国内外高水平会议和刊物上已发表学术论文40余篇(包括S&P、Usenix Security、CCS、ICSE、ASE、TSE、DSN、CGO等)并已申请专利20余项。
报告题目:开源漏洞在二级制代码中的定位技术
开源软件被广泛的用于软件制品中,因此开源软件中的漏洞也随着软件的复用而引入到软件制品中。准确分析软件制品二进制代码中开源软件的成分,是发现开源漏洞的一种重要方法。在本报告中,将分享我们近年来围绕库级、版本级、函数级的开源成分分析与识别相关的研究进展,并展望该方向的技术发展趋势。
张源
复旦大学计算机科学技术学院 副教授
主要研究方向为软件安全、程序分析、安全攻防技术。入选国家高层次青年人才计划,曾获ACM SIGSAC中国新星奖、USENIX Security杰出论文奖等荣誉。研究工作主要发表于网络安全顶会,担任IEEE S&P,USENIX Security等顶会PC成员,EMSE期刊编委等。带领团队获得国内外顶尖安全攻防赛事冠军20余次,发现的多个软硬件高危漏洞得到华为、腾讯、蚂蚁金服、百度、谷歌等公司致谢。
报告题目:数据驱动的开源代码漏洞治理
开源代码的漏洞治理主要在于两个环节。一方面是大规模的漏洞发现能力,另一方面是可靠的漏洞修复管理能力。本次报告主要围绕漏洞被发现后,如何有效的修复和评估漏洞。具体而言,本次报告将会围绕漏洞影响范围、漏洞危害性、漏洞补丁等关键数据介绍一系列漏洞信息增强技术,并依托于高质量的漏洞数据介绍如何开展可靠的漏洞补丁部署和漏洞修复评估。
董国伟
奇安信科技集团股份有限公司 高级专家/副研究员/博士
主要研究方向为软件供应链安全、软件安全开发、软件漏洞分析等。主持或作为核心成员参与国家级、省部级项目10余项;联合出版《软件漏洞分析技术》、《软件供应链安全:源代码缺陷实例剖析》等专译著6部;曾多次荣获省部级科技进步二等奖等奖项;作为核心成员完成2021年度和2022年度《中国软件供应链安全分析报告》系列报告,在相关领域期刊和会议上发表论文20余篇。
报告题目:供应链中开源软件的安全现状分析
基于团队的漏洞和缺陷分析能力,针对国内企业自主开发的源代码、开源软件生态、国内企业软件开发中开源软件使用等的安全状况,以及典型应用系统开源软件供应链安全风险实例进行深入分析,并总结趋势和变化。此外,还特别针对“关键基础开源软件”的依赖情况、开源软件中容易利用漏洞的分布、开源许可协议风险等方面进行了深入分析和统计。通过多维度、详实的数据反映软件供应链及开源软件的安全状况。
CNCC是级别高、规模大的高端学术会议,探讨计算及信息科学技术领域最新进展和宏观发展趋势,展示计算领域学术界、企业界最重要的学术、技术成果,搭建交流平台,促进科技成果转换,是学术界、产业界、教育界的年度盛会。今年邀请嘉宾包括ACM图灵奖获得者、田纳西大学教授Jack Dongarra,以及高文、管晓宏、江小涓、钱德沛、徐宗本、张平等多位院士及专家,还有七百余位国内外名校学者、名企领军人物、各领域极具影响力的业内专家,CNCC在计算领域的水准及影响力逐年递增。本届CNCC的主题是:算力、数据、生态。
CNCC2022将汇聚国内外顶级专业力量、专家资源,为逾万名参会者呈上一场精彩宏大的专业盛宴。大会期间还将举办“会员之夜”大型主题狂欢活动,让参会者畅快交流,燃爆全场。如此盛会,岂能缺席!等你来,马上行动,欢迎参会报名!