鲍凌峰
内容简介
题目
漏洞端到端追溯研究
摘要
随着软件产业的飞速发展,软件漏洞的规模急剧增长,带来了严重的安全风险。当前漏洞的管理主要遵循协同漏洞披露流程,在整个流程中都需要对漏洞及其相关信息进行有效的追踪和管理。本报告主要介绍在漏洞端到端追溯中的两个研究工作:
1)在漏洞还未被确认前,开发人员由于缺乏安全相关的经验和知识会将漏洞信息提交到公开的渠道(例如缺陷管理系统),我们称之为危险问题报告。这些危险问题报告会提前造成漏洞信息的泄露。我们提出了一个基于CWE漏洞类别外部知识的深度学习技术,可以从极端不平衡的数据中识别危险漏洞报告。
2)漏洞信息会被披露到一些公开的数据库和平台(例如CVE/NVD)以帮助受漏洞影响的用户及时消减漏洞产生的威胁。但是,漏洞很多信息并不是很可靠,例如漏洞所影响的软件版本信息。我们提出了一种针对漏洞的SZZ算法,可基于漏洞修复补丁识别引入漏洞的代码变更,进一步地,可以精准推断出漏洞影响的软件版本信息。
报告人
鲍凌峰,浙江大学计算机科学与技术学院副教授。研究方向为软件工程,包括人因软件工程、软件仓库挖掘、经验软件工程等。已在软件工程高水平会议和期刊ICSE、FSE、ASE、TSE、TOSEM等发表论文近40篇。受邀担任ASE、ICSME、SCAM、QRS等国际学术会议程序委员,以及TSE、TOSEM、EMSE等国际期刊的审稿人。
时间安排
❖
时间:2022/08/12(周五) 10:00-11:30
❖
地点:腾讯会议(553-569-967)
扫一扫
324
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
