智能化软件开发微访谈 · 第二十九期 开源软件供应链风险分析与治理 · 活动预告...

于 2024-01-05 15:35:00 发布
阅读量277 收藏
点赞数
文章标签: 开源软件
原文链接:https://mp.weixin.qq.com/s?__biz=MzU4NDU4OTM4OQ==&mid=2247508135&idx=1&sn=3c827a45019c6ded07044adf936f8387&chksm=fc221f8ca59cf386f5cfa1287b7ad24f5439645b64c171d05ae0b2587b851879e3c6c0ded185&scene=126&sessionid=0
版权

e2e4ef404aa4774d6cf9c69be84618bd.png

2024

Happy New Year!

5d4865269313f78c4aec4a6e4bf5fa26.png

Code Wisdom

5284f844416e8e221223f6840df72c50.gif

702df1fab7331e3eff4e1cb7527b5027.png

 CodeWisdom

“智能化软件开发沙龙是由CodeWisdom团队组织的围绕智能化软件开发、数据驱动的软件开发质量与效能分析、云原生与智能化运维等相关话题开展的线上沙龙,通过微信群访谈交流等线上交流方式将学术界与工业界专家学者汇聚起来,共同分享前沿研究进展与业界实践,共同探讨未来技术发展方向。”

开源软件供应链风险分析与治理

智能化软件开发微访谈·第二十九期

微访谈背景

819a686aeb701ef67f9338a554572c02.png

开源软件已经成为国民经济各行业发展的重要基石。据Gartner数据显示,99%的软件产品使用了开源软件。然而,商业软件以及开源软件自身都有可能包含以组件、源代码、二进制文件等不同形式存在的外部组成成分,从而导致日益复杂的供应链体系,由此引发各种风险。近年来,开源软件供应链事故也呈快速增长的态势,造成了越来越严重的危害。

开源软件供应链所面临的风险主要有哪些?学术界和工业界最关注的核心问题有哪些?在这些问题上的进展如何?软件成分分析在实践应用中还存在哪些问题和挑战?应该如何构建准确的开源漏洞知识库?开源软件供应链应用到特定领域将会面临什么样的挑战?

针对这些问题,本次微访谈邀请了来自学术界和工业界的多位专家,围绕开源软件供应链这一主题展开讨论,总结学术界研究及工业界实践现状、分析相关技术问题、展望未来的发展方向。

9d30ae48d0c1c9d96f625a4e5011329a.gif

时间

47faa8b299f84f11bab73b4776963974.png

时间:2024年1月8日(周一)晚上7:30-9:30

5a6022db66c1037f00bcafd7674bfb7f.gif

6b94012c815fff926b218084aaa176ae.jpeg

彭鑫

复旦大学教授

复旦大学计算机科学技术学院副院长、教授。中国计算机学会(CCF)杰出会员、软件工程专委会副主任、开源发展委员会常务委员,上海市计算机学会青工委主任,《Journal of Software: Evolution and Process》联合主编(Co-Editor),《ACM Transactions on Software Engineering and Methodology》、《Empirical Software Engineering》、《Automated Software Engineering》、《软件学报》等期刊编委。2016年获得NASAC青年软件创新奖。主要研究方向包括软件智能化开发、云原生与智能化运维、泛在计算软件系统、智能网联汽车基础软件等。研究工作多次获得IEEE Transactions on Software Engineering年度最佳论文奖、ACM SIGSOFT/IEEE TCSE杰出论文奖等奖项。担任2022年与2023年CCF中国软件大会(ChinaSoft)组织委员会主席与程序委员会共同主席,以及ICSE、FSE、ASE、ISSTA、ICSME、SANER等会议程序委员会委员。带领复旦大学CodeWisdom研究团队开展软件智能化开发与运维以及软件供应链治理平台的研究,研究成果在多家大型企业进行了实践应用。

93e19205898650557e13524015723da3.gif

访

aae5cd94f810cd03663588e72df46708.jpeg

刘杨

新加坡南洋理工大学

新加坡南洋理工大学(NTU)计算机学院教授,NTU网络安全实验室主任、HP-NTU实验室主任以及新加坡国家卓越卫星中心副主任,并于2019年荣获大学领袖论坛讲席教授。刘杨博士专攻软件工程,网络安全和人工智能,其研究填补了软件分析中理论和实际应用之间的空白,研发了多款高效的软件质量和安全检测平台并成功商业化。到目前为止,他已经在顶级会议和顶级期刊上发表了超过400篇文章。他还获得多项著名奖项,包括MSRA fellowship,TRF Fellowship, 南洋助理教授,Tan Chin Tuan Fellowship,Nanyang Research Award 2019,NRF Investigatorship 2020,并且在ASE、FSE、ICSE等顶级会议上获得20项最佳论文奖以及最具影响力软件奖。

815cbeb92ecd798768288fcf94b2a444.png

霍玮

教授,中国科学院信息工程研究所第十研究室主任

目前主要开展规模化、智能化及协同化漏洞挖掘及风险评估关键技术和系统的研发。迄今为止主持和参与国家重点研发技术项目等国家级、省部级项目40余项,在国内外高水平会议和刊物上发表学术论文50余篇,包括S&P、Usenix Security、CCS、ICSE、ASE、TSE、DSN、CGO等,申请20余项专利。主持研发了国家级漏洞分析与风险评估平台VARAS,挖掘零日漏洞并获CVE编号四百余个,获微软、谷歌、思科等厂商的致谢。

7366b7647866f5a91f77e3085693c217.jpeg

吴敬征

中国科学院软件研究所研究员

智能软件研究中心副主任。主要研究方向为开源软件供应链安全、漏洞挖掘、代码分析等。在国内外期刊和会议发表学术论文70余篇,授权国家专利30余项,获得软件著作权40余项、编写鸿蒙技术书籍2部、操作系统安全书籍1部、参与系统安全团体标准编制7项、累计向国内外安全漏洞库提交软件安全漏洞200余项。主持自然科学基金、重点研发计划课题等10余项。曾荣获北京市科技进步一等奖、通信学会科技进步二等奖、电子学会科技进步二等奖等。

961f458619c4060566d28b1adf49e43c.png

张源

复旦大学计算机科学技术学院教授

博导,国家级青年人才,主要研究方向为软件安全,研究工作获得ACM CCS 2020最佳论文提名、USENIX Security 2022杰出论文奖,担任IEEE S&P,ACM CCS,USENIX Security,NDSS,USENIX ATC等会议程序委员会委员,部分研究成果应用于华为、阿里、OPPO、vivo等公司,获华为优秀技术成果奖、OPPO产学研优秀合作伙伴奖、vivo最佳安全技术合作伙伴奖。带领复旦白泽战队获得国内外顶尖安全攻防赛事20余次冠军,发现大量真实软硬件系统高危漏洞,获2021年国家信息安全漏洞库最具价值漏洞奖。

ff2f70de118a30720d0e8ee9bb2df952.png

陈碧欢

复旦大学计算机科学技术学院副教授

主要研究方向包括软件供应链、智能网联汽车、AI系统工程等。主持两项国家自然科学基金项目和多项企业合作项目,参加科技创新2030-“新一代人工智能”重大项目。研究成果发表在ICSE、FSE、S&P、SEC、TSE、TIFS等国际会议和期刊,获NASAC青年软件创新奖、3次ACM SIGSOFT杰出论文奖(FSE2016、ASE2018、ASE2022)、2次IEEE TCSE杰出论文奖(ICSME2020、SANER2023)。基于相关研究成果,研制了开源风险治理平台伏羲(http://www.se.fudan.edu.cn/fuxi/)。

6d7c930090bc134876a86ab62fc3921f.png

陈森

天津大学英才副教授

天津大学特聘研究员,博导。荣获ACM中国新星奖(天津),入选天津大学“北洋学者英才计划”和“科技创新领军人才培育计划”。指导学生获互联网+全国金奖1项,挑战杯全国金奖1项,荣获优秀创新创业导师。主要研究方向为软件供应链安全,聚焦漏洞和恶意代码检测与验证。发表CCF-A类论文50余篇,荣获5项CCF-A类顶会杰出论文奖(ICSE18,ICSE21,ASE22,ICSE23,ASE23),1项天津市科技进步一等奖。带领团队发现了谷歌、微软、腾讯、阿里巴巴、英国汇丰银行等国际知名企业的多个漏洞。漏洞检测技术成果落地在国家电网、中汽、华为等国内知名企业。

758dbee6477911a116766c0473540fb2.png

余跃

国防科技大学副研究员

博士,鹏城实验室开源研究所技术总师,OpenI启智开源社区运营中心主任、技术委员,CCF开源发展委员会常务委,主要从事开源生态、群体智能、智能化软件开发等相关领域的研究工作,在CSCW、CHI、TSE、ICSE、FSE、ASE等软件工程国际重要会议和期刊发表论文50余篇,曾获湖南省优秀博士论文、ACM学会优秀博士论文、OW2国际开源比赛一等奖与特等奖等奖励,作为技术负责人牵头开展我国新一代人工智能规划重点开源社区OpenI启智社区基础平台与生态建设。

756ba0717f2e62a349c2e67671bce71b.jpeg

梁广泰

华为云软件分析Lab负责人,软件分析领域资深技术专家

CCF高级会员,CCF软工专委常委,CCF开源发展委员会供应链安全工作组秘书。14年初获得北京大学计算系博士学位,之后入职IBM中国研究院担任研究员职位。16年5月加入华为工作至今,带领团队先后围绕代码缺陷检测与修复、开源成分分析与治理、代码智能同步/重构/移植等方向成功孵化多项智能化开发服务并规模化落地。至今已发表技术专利50+及学术论文30+(含ICSE/FSE/ASE/OOPSLA等),曾获FSE最佳论文奖/ISSTA最佳论文奖等,先后担任一系列软工Top国际会议PC Member/Chair等角色(含ICSE/OOPSLA/WWW/ISSRE等)。

9ddff942b7e786a6c130165293ac4925.jpeg

刘波

华为软件工程高级专家、openEuler开源社区软件供应链安全总架构师

在软件工程领域深耕20年,致力于软件的透明度和安全性能力建设,专注于开源软件中的编译构建、运行时监控、依赖管理、开源合规、漏洞风险等技术。负责openEuler开源软件供应链解决方案架构,并规模落地了SBOM自动生成、可重复构建、签名、自动化发布、敏感信息扫描、开源合规分析、基于统一漏洞库的分钟级排查与漏洞感知等关键能力。

5fa93a40d5ddde51c84422e188d3b319.png

薛植元

上海安势信息技术有限公司,创始人 & CEO

曾担任Synopsys软件安全业务大中华区负责人,Checkmarx大中华区总经理。上海安势立足于为软件世界提供可信技术支撑,公司自主研发的清源CleanSource软件成分分析(SCA)系统,被包含腾讯、阿里巴巴、百度、小米、VIVO、荣耀、大华、蚂蚁科技、博世汽车、宝马汽车、上汽等各行业头部高科技公司采用,从源码、依赖到二进制,从合规到安全,清源SCA通过在SLDC中深度集成,为软件研发团队提供深入、高效、准确的开源风险扫描与治理能力。

f6c68a5647ebcc50b648d1783faf9cd5.png

唐忱

苏州棱镜七彩信息科技有限公司,解决方案负责人

毕业于电子科技大学软件学院。长期从事开源安全与合规治理、DevSecOps与安全左移的产品设计开发工作,带领设计开发团队完成FossEye的产品开发并上线。FossEye自2019年11月上线,使用用户已达数十万余人,累计检测开源项目90000+个,开源漏洞库数量100000+,共导出报告80000+份,通过中国信通院各项评估,成为首批可信开源治理工具。2020年8月,与Gitee进行技术对接,已成功接入Gitee云服务,成为国内首个服务于上百万开发者和开源项目的开源治理产品。

2d688129d6e67a44b8e6c97fc914888d.gif

154346c22f07974e3f25cee7f849ca0b.png

欢迎关注CodeWisdom,Codewisdom平台由复旦大学软件工程实验室运营,提供智能化软件开发平台及线上沙龙相关资讯,关注可了解更多智能化软件开发的最新消息~

pengxin_ce
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值