-
题名开源软件漏洞感知技术综述
被引量:2
- 1
-
-
作者
詹奇
潘圣益
胡星
鲍凌峰
夏鑫
-
机构
浙江大学计算机科学与技术学院
浙江大学软件学院
华为技术有限公司软件工程应用技术实验室
-
出处
《软件学报》
EI
CSCD
北大核心
2024年第1期19-37,共19页
-
基金
国家重点研发计划(2021YFB2701102)
国家自然科学基金(62141222,U20A20173)
中央高校基本科研专项资金(226-2022-00064)。
-
文摘
随着现代软件规模不断扩大,软件漏洞给计算机系统和软件的安全运行、可靠性造成了极大的威胁,进而给人们的生产生活造成巨大的损失.近年来,随着开源软件的广泛使用,其安全问题受到广泛关注.漏洞感知技术可以有效地帮助开源软件用户在漏洞纰漏之前提前感知到漏洞的存在,从而进行有效防御.与传统软件的漏洞检测不同,开源漏洞的透明性和协同性给开源软件的漏洞感知带来巨大的挑战.因此,有许多学者和从业人员提出多种技术,从代码和开源社区中感知开源软件中潜在的漏洞和风险,以尽早发现开源软件中的漏洞从而降低漏洞所带来的损失.为了促进开源软件漏洞感知技术的发展,对已有研究成果进行系统的梳理、总结和点评.选取45篇开源漏洞感知技术的高水平论文,将其分为3大类:基于代码的漏洞感知技术、基于开源社区讨论的漏洞感知技术和基于软件补丁的漏洞感知技术,并对其进行系统地梳理、归纳和总结.值得注意的是,根据近几年最新研究的总结,首次提出基于开源软件漏洞生命周期的感知技术分类,对已有的漏洞感知技术分类进行补充和完善.最后,探索该领域的挑战,并对未来研究的方向进行展望.
-
关键词
开源软件
漏洞感知
软件安全
-
Keywords
open source software(OSS)
vulnerability awareness
software security
-
分类号
TP311
[自动化与计算机技术—计算机软件与理论]
-
-
题名软件跟踪链自动化技术研究综述
被引量:1
- 2
-
-
作者
汪烨
胡坤
姜波
夏鑫
唐贤书
-
机构
浙江工商大学计算机科学与技术学院
华为技术有限公司软件工程应用技术实验室
-
出处
《计算机学报》
EI
CAS
CSCD
北大核心
2023年第9期1919-1946,共28页
-
基金
浙江省自然科学基金项目(LY21F020011,LY20F020027,LY19F020003)
电商可信交易关键技术研究及应用-基于跨境支付大数据的电商可信交易关键技术研究与应用(2021C01162)资助。
-
文摘
软件可跟踪性作为软件的一项重要能力,其目的是通过在不同的软件制品之间建立跟踪链,捕获、链接、追踪每一个重要的软件制品.近年来,将信息检索、自然语言处理、机器学习以及深度学习等技术用于软件跟踪链的创建、维护和验证,大大减少了开发人员手动处理跟踪链的成本,因此受到学术界和工业界的广泛关注.在本文中,我们着重从软件跟踪链的自动化创建、维护和验证等方面着手,对近十年来研究进展进行梳理和总结.主要内容包括:(1)统计并分析软件跟踪链创建、维护和验证的自动化方法和技术;(2)对软件跟踪链的应用研究进行总结;(3)汇总了当前软件跟踪链相关技术评估研究和工具支持;(4)从技术难点中归纳得出目前跟踪链相关自动化技术所存在的关键问题,围绕跟踪软件的复杂性、跟踪链的粒度问题、精度问题、类型受限问题、验证效率问题、应用规模和时间问题以及工具评估不全面问题这七个部分,阐述了上述问题的可能解决思路和未来发展趋势.
-
关键词
软件跟踪链
机器学习
人工智能
深度学习
自然语言处理
-
Keywords
software traceability links
machine learning
artificial intelligence
deep learning
natural language processing
-
分类号
TP18
[自动化与计算机技术—控制理论与控制工程]
-