BCS2022| InForSec軟件供應鏈安學術交流會將于7月27日召開

7月27日上午，網絡安全研究國際學術論壇（InForSec）將于北京網絡安全大會（BCS）“學術日”舉辦題為“軟件供應鏈安全”的學術交流會。

會議由清華大學（網絡研究院）-奇安信聯合研究中心研究員應凌云主持，會上將有來自復旦大學、清華大學（網絡研究院）-奇安信聯合研究中心、浙江大學、螞蟻集團、香港中文大學的學者們分享研究過程中的靈感、經驗和體會。 

來自復旦大學計算機科學與技術學院的談心博士將進行主題為“基于漏洞-代碼提交關系排序的開源軟件漏洞補丁定位研究”的演講。在報告中，他將介紹一種基于排名的補丁定位方法——PatchScout。PatchScout根據開源軟件代碼庫中每一個代碼提交（commit）與目標漏洞的關聯性強弱，對軟件倉庫中所有的代碼提交進行排序。

來自復旦大學軟件學院戴嘉潤博士將帶來“基于PoC移植的漏洞影響范圍評估”的演講。在報告中，他提出了“PoC移植”技術以驗證漏洞的版本影響范圍。該技術基于參考版本的公開PoC，在不同的待測版本上，通過模糊測試技術嘗試生成能夠觸發同一目標漏洞的PoC，以此驗證漏洞的存在性與可觸發性。具體而言，該方案首先收集參考版本的漏洞觸發路徑，并用該路徑指導待測版本的PoC調整。

來自清華大學（網絡研究院）-奇安信聯合研究中心的谷雅聰將進行主題為“軟件供應鏈安全：不只是軟件成分分析”的演講。基于對全網軟件空間的大規模測繪，持續對軟件供應鏈進行全周期、全鏈條的分析與研究，谷雅聰將分享其在npm、Maven、PyPI等主流軟件生態上發現的一系列新的安全問題，并對軟件供應鏈安全治理進行展望。

來自浙江大學&螞蟻集團的潘高寧將進行主題為“V-SHUTTLE ：規模化和語義感知的虛擬機模擬設備模糊測試”的演講。在報告中，他提出了可規模化和語義感知的框架 V-SHUTTLE，支持對虛擬機管理器中的虛擬設備進行模糊測試。V-SHUTTLE 具有可移植性，能夠利用覆蓋率引導的模糊測試技術，對不同虛擬機管理器中的設備進行模糊測試。此外，V-SHUTTLE 可以針對多種設備有效執行廣泛的模糊測試。

來自浙江大學計算機科學與技術學院的付麗嫆博士將進行主題為“CPscan：代碼刪除引入的物聯網內核漏洞檢測”的演講。為了檢測由IoT內核代碼修剪引起的錯誤，研究結構感知的圖匹配算法和與安全操作關聯的關鍵變量的使用鏈收集技術，以精確定位被刪除的安全操作并推斷其安全影響，付麗嫆博士及其研究團隊設計實現IoT內核漏洞檢測系統CPscan。

來自香港中文大學計算機科學與工程學系的博士李卓華將進行主題為“MirChecker：針對 Rust 的靜態分析與漏洞檢測工具”的演講。屆時，他將分享研究團隊開發的靜態分析工具MirChecker。該工具可以自動分析Rust 編譯器產生的中級中間表示（MIR），并收集關于程序的數值與符號信息，然后通過約束求解技術生成診斷信息，對可能出錯的代碼輸出警告信息。