基于知识图谱的跨项目安全缺陷报告预测方法

安全缺陷报告可以描述软件产品中的安全关键漏洞.为了消除软件产品的安全攻击风险,安全缺陷报告(security bug report,SBR)预测越来越受到研究人员的关注.但在实际软件开发场景中,需要进行软件安全漏洞预测的项目可能是来自新公司或属于新启动的项目,没有足够的已标记安全缺陷报告供在实践中构建此软件安全漏洞预测模型.一种简单的解决方案就是使用迁移模型,即利用其他项目已经标记过的数据来构建预测模型.受到该领域最近的两项研究工作的启发,以安全关键字过滤为思路提出一种融合知识图谱的跨项目安全缺陷报告预测方法KG-SBRP(knowledge graph of security bug report prediction).使用安全缺陷报告中的文本信息域结合CWE(common weakness enumeration)与CVE Details(common vulnerabilities and exposures)共同构建三元组规则实体,以三元组规则实体构建安全漏洞知识图谱,在图谱中结合实体及其关系识别安全缺陷报告.将数据分为训练集和测试集进行模型拟合和性能评估.所构建的模型在7个不同规模的安全缺陷报告数据集上展开实证研究,研究结果表明,所提方法与当前主流方法FARSEC和Keyword matrix相比,在跨项目安全缺陷报告预测场景下,性能指标F1-score值可以平均提高11%,除此之外,在项目内安全缺陷报告预测场景下,F1-score值同样可以平均提高30%.

Patch-Locator:一种基于排序学习的开源软件漏洞补丁定位方法

日益增多的开源软件漏洞对软件安全带来了巨大的风险,补丁在应对这一风险的过程中扮演了非常重要的角色.不幸的是,尽管大部分漏洞的补丁在被披露前就已经开发完毕,但仅有部分补丁会随漏洞同步公开.现有的研究发现了漏洞与其补丁之间存在一定的相关性,并基于这些相关性特征对提交进行了排序,以定位漏洞的补丁,但仍旧存在漏洞数据部分缺失、定位准确率不佳等问题.本文提出了Patch-Locator,一种新的基于排序学习的补丁定位方法,通过扩展漏洞数据源对漏洞数据进行补充,并根据漏洞与补丁文本的相似性、漏洞产生的原因和导致的结果等更能反映漏洞与补丁间关联的因素提取了更具有针对性的相关性特征,并使用LambdaMart排序学习模型对提交基于其具有的相关性特征进行排序以定位安全补丁.本文用来自10个开源软件项目的1669个漏洞来评估Patch-Locator.实验结果表明,Patch-Locator的Recall@1指标为92.22%,Recall@5指标为95.51%,Manual Effort@5指标为1.2455,均优于现有方法.

“产学研协同”视角下数据结构与算法课程教学改革研究

数据结构与算法是计算机科学与技术领域的核心课程。为培养适应产业需求的高素质人才,本文提出了一种产学研协同的数据结构与算法教学模式。通过引入校外生产制造企业的实际项目,挖掘生产流程中的数据结构实践案例,实现理论与实践的紧密结合,提升学生的综合素质与创新能力。同时,推动校企融合的教学模式改革,探索多元化的考核方式,全面提升学生在解决复杂问题、团队协作等方面的能力。

基于MOOC的软件测试课程教学建设

MOOC教学模式作为一种基于互联网应用的新兴教学模式,正席卷着整个教育界。文章简要分析MOOC在国内的发展和软件测试课程的教学情况,提出基于MOOC的软件测试课程教学模式的观点,结合西北工业大学的具体实践,阐述与MOOC相结合的软件测试课程教学方法。

基于深度学习的安全缺陷报告预测方法实证研究

软件安全问题的发生在大多数情况下会造成非常严重的后果,及早发现安全问题,是预防安全事故的关键手段之一.安全缺陷报告预测可以辅助开发人员及早发现被测软件中潜藏的安全缺陷,从而尽早得以修复.然而,由于安全缺陷在实际项目中的数量较少,而且特征复杂(即安全缺陷类型繁多,不同类型安全缺陷特征差异性较大),这使得手工提取特征相对困难,并随后造成传统机器学习分类算法在安全缺陷报告预测性能方面存在一定的瓶颈.针对该问题,提出基于深度学习的安全缺陷报告预测方法,采用深度文本挖掘模型TextCNN和TextRNN构建安全缺陷报告预测模型;针对安全缺陷报告文本特征,使用Skip-Gram方式构建词嵌入矩阵,并借助注意力机制对TextRNN模型进行优化.所构建的模型在5个不同规模的安全缺陷报告数据集上展开了大规模实证研究,实证结果表明,深度学习模型在80%的实验案例中都优于传统机器学习分类算法,性能指标F1-score平均可提升0.258,在最好的情况下甚至可以提升0.535.此外,针对安全缺陷报告数据集存在的类不均衡问题,对不同采样方法进行了实证研究,并对结果进行了分析.

基于半监督学习方法的软件故障定位研究

故障定位是软件工程中最为耗时和昂贵的活动之一,为降低软件故障定位的成本及提高故障定位的效率,机器学习方法被广泛应用于自动化软件故障定位中。传统的监督学习方法需要获取大量标记样本,这在实际项目中相当困难,且费用高昂。针对这一问题,提出采用半监督学习方法进行软件故障定位的思想,故障定位基于语句级别,通过应用程序中可执行语句与测试用例执行之间动态属性、以及传统软件故障定位中较有效的若干静态属性实现协同训练目的,得到训练良好的分类器,然后用该分类器对程序其余语句进行分类,从而得到故障语句。文章最后在Siemens Suite数据集中对算法进行验证,通过与传统监督学习算法进行对比,证明半监督学习算法在软件故障定位中的有效性。

基于Scrum方法的软件测试教学模式探索与实践

软件工程学科具有涉及知识面广、知识更新快的特征,给传统教学方法提出极大的挑战。文章分析软件测试教学的现状,根据软件测试课程及学生特点,介绍敏捷开发与Scrum模型的基本思想,提出基于Scrum方法的软件测试课程教学模式,具体阐述该教学模式的实施过程,最后说明该教学模式实施后的效果。

新疆集体林权制度改革经济效应分析

以集体林权制度改革为政策背景,采用C-D生产函数模型,根据新疆林业经济统计数据,就林业科技进步、林业资本投入、林业劳动力投入、新增造林面积以及作为虚拟变量的集体林权制度改革等要素,对新疆林业经济增长的贡献做出定量评价。结果表明:集体林权制度改革后林业科技进步、林业资本投入、林业劳动力投入对林业经济增长具有明显推进作用,作为虚拟变量的制度因素集体林权改革对林业经济增长具有正向推动作用。新疆林业经济的增长在很大程度上依赖于林业资本的大力投入,因此新疆林业要实现经济快速增长,必须继续深化集体林权制度改革,落实林权证的发放,不仅要继续加大劳动力投入和科技投入的力度,而且要促进林业劳动力投入和科技进步的结合;同时还要不断完善人才培养机制,加快新疆林业技术人才的引进。

应用过程间分析技术的并行错误模式匹配方法

过程间分析技术通常用于静态检测并行程序中的错误模式实例,目前已成为静态测试、错误模式匹配等领域的研究热点。然而,现存的过程内分析技术对于并行错误的静态测试效果尚不够理想。为此,文章试图运用过程间分析技术对并行程序进行"错误模式"的匹配。通过遍历构建的全局控制流图,分析图中单个节点所包含的语句,对其中可能出现错误的程序进行了错误模式的匹配,最终得出"错误定位"的结果。通过在实际开源系统中的应用,结果表明文中所提出的方法效果良好,具有较好的错误定位能力。

基于本体的并发错误测试工具推荐方法研究

随着并发系统测试关注度的日益提高,越来越多的并发系统测试工具不断出现。对于测试人员来说,能否正确选取并发系统测试工具也就成为了并发测试效率的决定因素之一。鉴于并发错误检测软件并不像传统测试软件那样被人们所熟知,提出一种基于本体设计的并发错误测试工具推荐方法。该方法分别根据并发错误类型、程序本身特征和用户具体需求推荐适合的并发错误测试工具,从而提高测试的效率。

运用变异测试的并行程序测试用例最小化算法

在并行程序测试中,测试输入和线程交互时序是影响并行错误检测的两个关键因素。以缩减并行错误检测的输入空间为目标,给出一种基于变异测试的测试用例最小化算法。首先对并行程序进行研究,选取与并行错误密切相关的9个变异算子,并以此为基础为待测程序生成多种变异体;采用JPF作为线程调度工具来执行测试用例,根据变异评分与平均时间成本对测试用例进行排序,在优化后的测试用例集中选取检测能力不重复的测试用例,从而得到面向并行错误检测的最小测试用例集。实验结果证明,该方法能有效减小测试用例集的规模,并大幅缩短运行时间,从而提高了并行程序的测试效率。

“混源多模”教学模式在研究生软件测试课程的实践

为适应高校教育数字化建设的快速发展,基于西北工业大学和扬州大学近5年研究生软件测试课程教学探索与实践,提出“混源多模”教学模式。借助人工智能进行教学资源选择与优化,综合考虑在线教学资源、开源项目数据和学生思想动态,结合“案例+研讨式”教学方法,使授课资源和教学模式实现随“变”应变,灵活授课。同时,借助数字平台进行教学评价反馈,形成课程教学模式迭代优化机制。实践结果表明,“混源多模”教学模式通过融合教学资源和学生思想动态,教学效果提升显著,在2017—2021学年的教学中,课程目标达成度由0.73提升至0.87,优秀率(综合成绩≥90分)达到31%;形成以10万条开源缺陷报告为核心的教学案例知识库,并实现教学案例库自动构建方法和系统;获得省级优秀教材和精品MOOC,指导学生在软件测试大赛中多次获奖,并发表高质量科研论文。

基于JDart的测试用例自动生成与优化

基于符号执行的测试用例生成方法,以其高可靠性得到了学术界和工业界广泛关注。然而,已有工具大都面向C或者C++程序,面向Java的符号执行工具发展相对较慢。JDart是表现较好的一款开源的面向Java的符号执行工具,但是对复杂数据类型比较数组却支持很弱,因此,在对JDart工具以及动态符号技术进行分析的基础上,通过对JDart测试用例生成能力和存在问题的深入剖析,针对数组处理进行改进,以提高生成测试用例的代码覆盖率,保证测试质量。最后,通过用三角形程序实例进行验证,结果表明,改进后的JDart工具能够完全探索函数中关于数组处理的所有路径。

新疆玛纳斯县集体林改对农户营林积极性影响研究

为探讨集体林权制度改革对农户营林积极性的影响,该文对新疆玛纳斯县210户参与林改的农户进行问卷调查,并利用二元logistic模型,研究出具体影响农户营林积极性的相关因素。其结果表明:受访者文化程度、家庭收入主要来源、林地面积、造林补助、预期改革政策的稳定性、林地灌溉条件是显著影响农户营林积极性的重要因素。该文得出结论:发展农村教育,完善落实造林补助、税费减免、抚育基金等相关政策,同时发展特色林果产业,强化林业科技支撑,完善节水灌溉系统,是提高农户营林积极性的有效对策。

以榜样为光 化激情为翅

有一束光芒在农业银行闪动,在我们身边环绕,这种光亮叫榜样;有一个情愫在我们心底跳动,在基层岗位闪光,这种情愫叫激情。它是风雨无阻守楼盘时的执着;它是加班加点做件时的动力;它是成功放款时上扬的嘴角。有这样一群人,耕耘基层,无怨无悔;正是他们,用无数个全年无休的坚守,诠释着工作的热血和激情.

广西三江:发挥好“国字号”立法直通车的民族特色

广西壮族自治区三江侗族自治县人大常委会深刻学习领会,积极贯彻落实习近平总书记关于全过程人民民主重要论述,充分利用三江地域和民族特色优势,求真务实、开拓创新、敢为人先,不断扩大基层立法联系点辐射面、拓展联系点功能,打通代表联系群众的"最后一公里",保障人民群众依法参与民主选举、民主协商、民主决策、民主管理、民主监督。