点击蓝字
关注我们
CCF Opensource Development Committee
CCF开源发展委员会开源供应链安全工作组(CCF-ODC-OSS)将于9月6日下午以线上会议形式组织供应链安全技术研讨会,此次研讨会主题为“大模型时代下新型开源供应链投毒案例分析及防御对策”。我们诚邀所有对供应链安全技术领域感兴趣的高校老师、学生、企业同仁参与本次线上研讨活动!
CCF开源发展委员会供应链安全工作组致力于打造开放的供应链安全技术交流协作社区,构筑中国自主可控的开源漏洞标准及开源漏洞智能分析及汇聚服务、供应链安全风险防御技术体系核心能力规划与建设。为进一步促进国内开源供应链安全技术研讨氛围和人才体系建设,工作组于2024年开展定期技术研讨会。欢迎大家通过扫描底部二维码,加入工作组交流群,深入参与工作组各项活动,共同推进中国自主可控供应链安全核心技术发展与建设!
活动议程详情
时间 | 议程 |
15:00-15:05 | 开场 |
15:05-15:25 | 姬渊翔 – 华为云PaaS技术创新Lab静态代码检查专家、工程师 题目:CVE-2024-3094 xz后门植入漏洞原理分析 |
15:25-16:00 | 王申奥 – 华中科技大学网络空间安全学院新兴软件安全与黑灰产实验室硕士研究生 题目:供应链投毒:从开源软件到开源模型 |
16:00-16:30 | Panel讨论:供应链投毒防御技术布局研讨 |
参会方式
时间:
2024年9月6日(周五)下午 15:00-16:30
参与方式:
为了保障会议秩序和管理,请有意参会者先扫描底部的群二维码,加入CCF-ODC-OSS工作组微信群,会议前一天会将会议链接发至工作组微信群。
演讲者及内容介绍
报告主题:CVE-2024-3094 xz后门植入漏洞原理分析
姬渊翔:华为云PaaS技术创新Lab工程师。2022年毕业于武汉大学获工学学士学位。目前主要方向为静态代码检查,开发的静态代码检查引擎降降低了原有方案误报,提升了多语言兼容性和性能,显著提升了公司内部的静态代码检查能力。
摘要:XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在debian、ubuntu、centos等发行版仓库中。2024年3月29日,安全社区披露漏洞编号为CVE-2024-3094的安全漏洞,该漏洞存在于XZ-Utils的5.6.0/5.6.1版本之中,漏洞版本存在任意代码执行问题。此外,漏洞报告者披露该漏洞是某软件维护者恶意植入的后门导致的,且被传播到了下游Ubuntu系统的openssh等软件中,是一次典型的供应链投毒攻击。本次报告将对该漏洞进行分享,分享该漏洞的攻击原理,并与大家共同探讨针对此类问题的检测与防御手段。
报告主题:供应链投毒:从开源软件到开源模型
王申奥:华中科技大学网络空间安全学院新兴软件安全与黑灰产实验室硕士生,导师为王浩宇老师。2023年毕业于西安电子科技大学获工学学士学位。主要研究方向包括移动安全与隐私,开源软件供应链安全、大模型基础设施安全等。目前以第一作者/共同第一作者在CCS’24、ASE’24等顶级国际会议发表论文2篇。
摘要:近年来,随着开源生态的蓬勃发展,各种开源制品的重用已经成为现代化软件开发中不可或缺的一环。然而,这种开放的供应模式也为攻击者带来了新的机会。本次报告将首先从开源软件供应链出发,为大家分享我们团队在NPM和PyPI恶意代码投毒检测方面的工作进展。除了传统开源软件生态外,最近的恶意攻击实例越来越多地瞄准了HuggingFace等新兴预训练模型共享平台,为大模型基础设施带来了诸多安全风险与挑战。因此,本报告还将通过对预训练模型供应链进行攻击面分析和威胁建模,分享我们团队在预训练模型工件投毒检测方面的思考,并为预训练模型供应链安全提供一些实用的防护建议。
CCF-ODC-OSS工作组微信群
CCF ODC
更多信息:
CCF开源发展委员会(CCF ODC)秉承创新、开放、协作、共享的理念和价值观,聚焦打造自身开源的新型开源创新服务平台,培育孵化原始创新的开源项目,培养开源创新实践人才。依托CCF链接科教资源、产业资源和社会资源等,形成产、学、研、用联动的开源创新模式,探索由学术共同体主导的开源发展新路径,为中国计算机学会会员乃至全球开源创新实践者提供高水平服务,助力开源生态建设。
往期回顾
会议通知 | 【2024CCF中国开源大会】即将在深圳召开,诚邀您参会/申报分论坛!
更多资讯请见CCF开源发展委员会专区
https://www.gitlink.org.cn/zone/CCF-ODC
点击阅读原文查看更多