2024第2期 | CCF开源发展委员会开源供应链安全工作组技术研讨会顺利举行

点击蓝字

关注我们

CCF Opensource Development Committee

2024年10月12日,CCF开源发展委员会供应链安全工作组(CCF-ODC-OSS)以在线会议方式顺利举行2024年度第二期供应链安全技术研讨会。本次技术研讨会吸引了来自华为、阿里云、中国软件评测中心、复旦大学等高校企业的60余名专家学者和师生。

研讨活动由工作组秘书谈心博士主持,除了"漏洞速递"环节,还邀请了信工所肖扬副研究员和北大陈天宇博士围绕"开源软件供应链漏洞分析与治理"主题带来了两项主题报告。与会人员针对报告内容进行了热烈的研讨交流,进一步促进了国内开源供应链安全技术研讨氛围和人才体系建设。

图1 技术研讨会议程

研讨会的第一个议题中,工作组秘书谈心博士带来了"CouldImposer"漏洞的原理分析分享。该漏洞存在于Google云服务中,攻击者可通过Goolge云内部python 三方库安装脚本的不当参数,发动供应链依赖混淆攻击,最终达成远程代码执行的攻击效果。该漏洞影响了Google云服务的上百万台服务器,危害重大。谈心博士深度剖析了该漏洞的原理,并指出供应链依赖混淆攻击依旧真实存在,且对云服务的威胁重大,供应链依赖管理的安全性有待进一步提升。

图2信工所肖扬老师主题演讲

研讨会的第二个议题中,来自信工所的肖扬老师进行了主题为"面向二进制软件的组成分析与漏洞检测"的主题报告。在报告中,肖扬老师系统地介绍了团队在二进制层面制品相似性分析及漏洞检测技术的相关研究成果,综合运用了静态程序分析、符号执行、深度学习等技术,较现有方案取得了显著的提升,令人印象深刻。

图3北大陈天宇博士主题演讲

第三个议题中,来自北大谢涛老师团队的陈天宇博士带来了主题为"组件级漏洞定位:从分类到实体关联再到生成"的主题报告,深入浅出的介绍了两篇发表于软工顶会的两项工作,综合运用了实体识别、大模型等技术,从漏洞描述中提取受影响组件信息,丰富了开源漏洞信息,对供应链开源漏洞治理意义重大。

图4线上会议截图

此次研讨会议题内容扎实,交流氛围热烈。未来,CFF-ODC-OSS工作组规划开展更多交流活动,并考虑以线上线下相结合的模式,把交流活动带入高校及企业。有意参与后续交流活动者可联系CCF-ODC-OSS工作组群管理员加群。为方便管理,申请时请备注姓名和单位信息。

CCF ODC

<>


<>

2024 CCF 中国开源大会(CCF ChinaOSC)拟于2024年11月9日至10日在深圳市博林天瑞喜来登酒店召开。

大会报名渠道已开启,欢迎开源领域学术界、企业界、教育界的学者、从业者、师生等前来参会,共见中国开源新征程!

推荐阅读

<>


<>

<>

湾区聚力 开源启智 | 2024 CCF中国开源大会会议通知(第二轮)
<>

大会注册报名二维码及链接:

https://chinaosc.ccf.org.cn/register

点击下方"阅读原文"获得更多资讯

相关推荐
黑龙江亿林等级保护测评19 分钟前
做等保二级备案需要准备哪些材料
网络·安全·金融·智能路由器·ddos
一颗甜苞谷34 分钟前
开源一套基于若依的wms仓库管理系统,支持lodop和网页打印入库单、出库单的源码
java·开源
星海幻影38 分钟前
网络安全知识见闻终章 ?
网络·安全·web安全
kinlon.liu39 分钟前
安全日志记录的重要性
服务器·网络·安全·安全架构·1024程序员节
马戏团小丑1 小时前
fastjson/jackson对getter,setter和constructor的区分
java·安全
hanniuniu132 小时前
动态威胁场景下赋能企业安全,F5推出BIG-IP Next Web应用防火墙
网络协议·tcp/ip·安全
Gnevergiveup3 小时前
源鲁杯2024赛题复现Web Misc部分WP
安全·网络安全·ctf·misc
XinZong3 小时前
【AI开源项目】OneAPI -核心概念、特性、优缺点以及如何在本地和服务器上进行部署!
人工智能·开源
星海幻影3 小时前
安全见闻-web安全
安全·web安全