鮑凌峰

內容簡介

題目

漏洞端到端追溯研究

摘要

? 隨著軟件產業的飛速發展，軟件漏洞的規模急劇增長，帶來了嚴重的安全風險。當前漏洞的管理主要遵循協同漏洞披露流程，在整個流程中都需要對漏洞及其相關信息進行有效的追蹤和管理。本報告主要介紹在漏洞端到端追溯中的兩個研究工作：

1）在漏洞還未被確認前，開發人員由于缺乏安全相關的經驗和知識會將漏洞信息提交到公開的渠道（例如缺陷管理系統），我們稱之為危險問題報告。這些危險問題報告會提前造成漏洞信息的泄露。我們提出了一個基于CWE漏洞類別外部知識的深度學習技術，可以從極端不平衡的數據中識別危險漏洞報告。

2）漏洞信息會被披露到一些公開的數據庫和平臺（例如CVE/NVD）以幫助受漏洞影響的用戶及時消減漏洞產生的威脅。但是，漏洞很多信息并不是很可靠，例如漏洞所影響的軟件版本信息。我們提出了一種針對漏洞的SZZ算法，可基于漏洞修復補丁識別引入漏洞的代碼變更，進一步地，可以精準推斷出漏洞影響的軟件版本信息。

報告人

鮑凌峰，浙江大學計算機科學與技術學院副教授。研究方向為軟件工程，包括人因軟件工程、軟件倉庫挖掘、經驗軟件工程等。已在軟件工程高水平會議和期刊ICSE、FSE、ASE、TSE、TOSEM等發表論文近40篇。受邀擔任ASE、ICSME、SCAM、QRS等國際學術會議程序委員，以及TSE、TOSEM、EMSE等國際期刊的審稿人。

時間安排

?

時間：2022/08/12（周五） 10:00-11:30

?

地點：騰訊會議（553-569-967）

總結

以上是生活随笔為你收集整理的活动预告｜CodeWisdom软件供应链系列学术报告：第5期（鲍凌峰 浙江大学）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。