2024第2期 | CCF开源发展委员会开源供应链安全工作组技术研讨会顺利举行

点击蓝字

关注我们

CCF Opensource Development Committee

2024年10月12日,CCF开源发展委员会供应链安全工作组(CCF-ODC-OSS)以在线会议方式顺利举行2024年度第二期供应链安全技术研讨会。本次技术研讨会吸引了来自华为、阿里云、中国软件评测中心、复旦大学等高校企业的60余名专家学者和师生。

研讨活动由工作组秘书谈心博士主持,除了"漏洞速递"环节,还邀请了信工所肖扬副研究员和北大陈天宇博士围绕"开源软件供应链漏洞分析与治理"主题带来了两项主题报告。与会人员针对报告内容进行了热烈的研讨交流,进一步促进了国内开源供应链安全技术研讨氛围和人才体系建设。

图1 技术研讨会议程

研讨会的第一个议题中,工作组秘书谈心博士带来了"CouldImposer"漏洞的原理分析分享。该漏洞存在于Google云服务中,攻击者可通过Goolge云内部python 三方库安装脚本的不当参数,发动供应链依赖混淆攻击,最终达成远程代码执行的攻击效果。该漏洞影响了Google云服务的上百万台服务器,危害重大。谈心博士深度剖析了该漏洞的原理,并指出供应链依赖混淆攻击依旧真实存在,且对云服务的威胁重大,供应链依赖管理的安全性有待进一步提升。

图2信工所肖扬老师主题演讲

研讨会的第二个议题中,来自信工所的肖扬老师进行了主题为"面向二进制软件的组成分析与漏洞检测"的主题报告。在报告中,肖扬老师系统地介绍了团队在二进制层面制品相似性分析及漏洞检测技术的相关研究成果,综合运用了静态程序分析、符号执行、深度学习等技术,较现有方案取得了显著的提升,令人印象深刻。

图3北大陈天宇博士主题演讲

第三个议题中,来自北大谢涛老师团队的陈天宇博士带来了主题为"组件级漏洞定位:从分类到实体关联再到生成"的主题报告,深入浅出的介绍了两篇发表于软工顶会的两项工作,综合运用了实体识别、大模型等技术,从漏洞描述中提取受影响组件信息,丰富了开源漏洞信息,对供应链开源漏洞治理意义重大。

图4线上会议截图

此次研讨会议题内容扎实,交流氛围热烈。未来,CFF-ODC-OSS工作组规划开展更多交流活动,并考虑以线上线下相结合的模式,把交流活动带入高校及企业。有意参与后续交流活动者可联系CCF-ODC-OSS工作组群管理员加群。为方便管理,申请时请备注姓名和单位信息。

CCF ODC

<>


<>

2024 CCF 中国开源大会(CCF ChinaOSC)拟于2024年11月9日至10日在深圳市博林天瑞喜来登酒店召开。

大会报名渠道已开启,欢迎开源领域学术界、企业界、教育界的学者、从业者、师生等前来参会,共见中国开源新征程!

推荐阅读

<>


<>

<>

湾区聚力 开源启智 | 2024 CCF中国开源大会会议通知(第二轮)
<>

大会注册报名二维码及链接:

https://chinaosc.ccf.org.cn/register

点击下方"阅读原文"获得更多资讯

相关推荐
HackTwoHub15 分钟前
ARL灯塔重构版:支持APP/小程序/WEB资产同步扫描
人工智能·安全·web安全·网络安全·小程序·重构·自动化
MDM.Plus1 小时前
苹果MDM技术演进:从远程控制到设备信任体系的构建
运维·服务器·安全·ios·mdm·手机店
❀͜͡傀儡师2 小时前
2026年7月高危安全态势速览
安全
数据知道3 小时前
网络安全工具箱:100+ 工具分类速查与选型建议
安全·web安全·网络安全
GitCode官方3 小时前
开源鸿蒙跨平台直播| RN 三方库开源鸿蒙标准化适配实战分享
华为·开源·harmonyos·atomgit
梦梦代码精4 小时前
LikeShop 前后端架构升级对比总白皮书——从传统商城架构到高性能多端统一体系
docker·架构·开源
想你依然心痛4 小时前
内存安全语言在嵌入式中的对比:Rust vs Ada vs SPARK——形式化验证、运行时
安全·rust·spark
txg6664 小时前
路径级持久化模糊测试:XSSky 如何精准击破 XSS 漏洞
深度学习·安全·web安全·网络安全·xss
云道轩4 小时前
DeepSeek using Claude Code 重构Oracle Fusion/SAP最佳业务实践:输入并补充Oracle Fusion 安全用户文档
安全·重构·oracle fusion
智脑API平台4 小时前
Codex CLI一次改多个文件安全吗?提交前检查清单与PR验证流程
安全·cli·codex