ChinaSoft 论坛巡礼|开源软件供应链论坛

news2024/11/26 18:20:21

2023年CCF中国软件大会(CCF ChinaSoft 2023)由CCF主办,CCF系统软件专委会、形式化方法专委会、软件工程专委会以及复旦大学联合承办,将于2023年12月1-3日上海国际会议中心举行。

本次大会主题是“智能化软件创新推动数字经济与社会发展”,学术、工业、教育、竞赛等分论坛活动40余场,期待您的参与!

目前大会火热报名中!

CCF ChinaSoft 2023官方首页:

http://chinasoft.ccf.org.cn/

点击文末“阅读原文”或扫描下方二维码进入官方注册通道:

https://conf.ccf.org.cn/chinasoft2023

62ac9a07e5cea46382014b08dc455d99.jpeg

b051e8d2810cd4f0c1c89124c1431745.jpeg

✦  +

+

论坛巡礼

论坛名称:开源软件供应链论坛

时间:2023年12月01日14:00-18:00

地点:上海国际会议中心,5J会议室

论坛简介:

开源软件是我国软件和信创产业的重要基础。据Gartner数据显示,99%的软件产品使用了开源软件。这些软件产品都有复杂的开源软件供应链。然而,开源软件供应链上的任何一个开源软件都有可能存在安全漏洞、许可证、兼容性等问题,严重提高了软件产品使用开源软件的安全风险、法律风险、维护风险。因此,发展开源软件供应链可信分析与保障技术,提升我国软件和信创产业的自主、可控与安全,是工业界和学术界的必由之路。本次论坛将邀请来自企业的业界专家以及来自高校的研究学者共同围绕这一话题进行专题报告和讨论,分享工业界和学术界研究与实践的最新发展,共同探讨未来的技术发展趋势。

日程安排

Schedule

d6a06688eaa0ebfbbbef35e44f70e99e.png

论坛主席

  Forum Chair

f264b5927d91c7d9bbc3b27764a65efb.png

陈碧欢复旦大学

复旦大学计算机科学技术学院副教授,主要研究方向包括软件供应链、智能网联汽车、AI系统工程等。研究成果发表在ICSE、FSE、S&P、TSE、TIFS等国际顶级会议和期刊,并获得3次ACM SIGSOFT杰出论文奖(FSE2016、ASE2018、ASE2022)和2次IEEE TCSE杰出论文奖(ICSME2020、SANER2022)。基于相关研究成果,研制了开源风险治理平台伏羲(http://www.se.fudan.edu.cn/fuxi/)。

efaa882134c708dc4b1e9ef3f53193e2.png

彭鑫(复旦大学

复旦大学计算机科学技术学院副院长、教授。中国计算机学会(CCF)杰出会员、软件工程专委会副主任、开源发展委员会常务委员,上海市计算机学会青工委主任,《Journal of Software: Evolution and Process》联合主编(Co-Editor),《ACM Transactions on Software Engineering and Methodology》、《Empirical Software Engineering》、《Automated Software Engineering》、《软件学报》等期刊编委。2016年获得NASAC青年软件创新奖。主要研究方向包括软件智能化开发、云原生与智能化运维、泛在计算软件系统、智能网联汽车等。研究工作多次获得IEEE Transactions on Software Engineering年度最佳论文奖、ICSM最佳论文奖、ACM SIGSOFT杰出论文奖、IEEE TCSE杰出论文奖等奖项。担任2022年与2023年CCF中国软件大会(ChinaSoft)组织委员会主席与程序委员会共同主席,以及ICSE、FSE、ASE、ISSTA等会议程序委员会委员。

335f53e6390e381d5c13cd0bcd42fce0.png

黄凯锋(复旦大学

复旦大学计算机科学技术学院博士后,2022年毕业于复旦大学获得博士学位。研究兴趣包括软件工程、软件安全、软件演化,至今在ASE、FSE、ICSME、EMSE等软件工程领域知名会议和期刊发表共9篇研究论文。部分研究成果在华为、荣耀等企业落地。他曾获得ACM SIGSOFT优秀论文奖(ASE 2018)、IEEE TCSE 优秀论文奖(ICSME 2020)、CCF原型工具竞赛二等奖(2018、2020)、复旦大学超级博士后等荣誉与称号。

论坛嘉宾

Forum Guests

5745a32083a93334c79e67dffd0cdc00.png

刘杨新加坡南洋理工大学

新加坡南洋理工大学(NTU)计算机学院教授,NTU网络安全实验室主任,新加坡网络安全研究办公室主任,并于2019年荣获大学领袖论坛讲席教授。刘杨博士专攻软件工程,网络安全和人工智能,其研究填补了软件分析中理论和实际应用之间的空白,研发了多款高效的软件质量和安全检测平台并成功商业化。到目前为止,他已经在顶级会议和顶级期刊上发表了超过500篇文章,并在顶级软件工程会议上获得20项最佳论文奖以及最具影响力软件奖。他还获得多项著名奖项,包括MSRA fellowship,TRF Fellowship, 南洋助理教授,Tan Chin Tuan Fellowship,Nanyang Research Award 2019, ACM杰出演讲人,新加坡国家基金研究会评审员和NTU创新者(创业)奖。

报告题目

软件基因组计划 — 基于开源软件基因分析的自动化风险监管与治理平台

摘要

随着现代化软件开发的日益发展,开源软件被广泛应用于各行各业并已成为不可或缺的重要组成部分。随着开源生态的逐渐壮大,代码本身的复杂性和多样性给软件生态带来了巨大的活力。然而随着开源软件的普及,其自由、开放、灵活的特性也给开源软件带来了诸多问题, 如开源软件质量参差不齐,安全性难以保障,缺乏专业管理团队,技术支持与维护缺失,软件合规性模糊,存在可持续性风险等。这也给第三方成分的合理使用和监管带来了巨大的挑战。为了应对这些挑战,我们提出面向开源软件安全监管与利用的软件基因组计划。该计划通过细粒度地识别和标注整合和分类代码特征,有效识别不同粒度的功能实现和非功能需求的保障措施,构建出一套完整的软件基因图谱,帮助开发者和管理者深入理解软件的复杂性和多样性。通过剖析和总结功能性基因和不良基因,软件基因组计划有助于促进针对性的软件修复和优化,为整个软件生态提供宝贵的洞察与理解,并支持技术选型和开源治理等关键开发任务。这一计划有望推动软件开发的演进,实现更高效、可靠和可持续的软件解决方案。

a7621db3911dfa40a2ecc4384c488d43.png

刘波(华为

软件工程首席专家、openEuler开源社区软件供应链安全负责人。

报告题目

开源社区软件供应链安全解决方案与实践

摘要

OpenSSF、Google、Microsoft、RedHat等在软件供应链安全框架、开源与商业工具链、和生态上全面布局,业界对开源软件供应链安全在2021年提升到前所未有的高度,已成为全球 IT 界的一项重大运动。本次报告通过洞察业界关键实践SBOM、ScoreCard、OSV、Open Source Insight、Assured OSS、SLSA软件制品供应链安全级别、S2C2F开源软件安全供应链消费框架S2C2F等,给出整体解决方案包括构建安全、编码安全、开源合规、漏洞安全、应急响应等,并分享在openEuler社区落地的实践。

e38afd60523ba47778a91b5934bb0edd.png

蔡立志(上海计算机软件技术开发中心

博士,研究员,上海市技术带头人。现任上海计算机软件技术开发中心主任,从事软件质量、信息安全相关技术研究。参与国家、省部级科研课题5项,获得发明专利授权10项,出版专著9本,审定辞典4本,发表论文135篇,编制国际、国家、军工行业等各类标准118项,其中主持的国际标准ISO/IEC 25020-2019是软件质量领域第一个由中国专家主持编制的国际标准,研制的国家标准被400多个软件测试实验室采用。中组部19批博士服务团成员,荣获中共青海省委组织部颁发的“来青服务优秀博士”荣誉称号。获得“昆仑英才”计划领军人才、春申金字塔卓越人才。荣获上海市科技进步二等奖、上海市科技进步三等奖、中国电子学会科技进步奖等多项荣誉。

报告题目

开源软件供应链安全与治理探索

摘要

开源软件的流行和广泛使用,存在着供应链安全的风险。在源代码、项目发起者和维护者、开发者、社区等多方组成的开源软件供应链上,需要特别关注供应链可见性、代码信源可信性、依赖漏洞、社区与生态系统弱点等安全风险。从开源治理标准规范、治理与评估方法、攻击防护手段等展开介绍治理实践探索。

cd98384d5dc5e034697895765356250a.png

吴敬征(中国科学院软件研究所

中国科学院软件研究所研究员,博导,软件所杰出青年科技人才。主要研究方向为操作系统、系统安全、开源软件供应链安全、漏洞挖掘、代码分析等。在国内外期刊和会议发表学术论文70余篇,授权国家专利30余项,获得软件著作权40余项、编写鸿蒙技术书籍2部、操作系统安全书籍1部、参与系统安全团体标准编制7项、累计向国内外安全漏洞库提交软件安全漏洞200余项。主持自然科学基金、重点研发计划课题等10余项。曾荣获北京市科技进步一等奖、通信学会科技进步二等奖、电子学会科技进步二等奖等。

报告题目

“源图”:开源软件供应链安全实践

摘要

开源软件供应链是信息产业发展的新“引擎”,是开源生态技术底座。基于中国科学院软件研究所建设的开源软件供应链供应链平台“源图”,介绍开源生态亟需应对的与日俱增的安全风险,分享开源软件供应链投毒检测、关键软件缺陷检测、开源软件合规性检测等实践场景中的一些经验。

b31553b14cd0703466ebe669e20c07b2.png

唐忱(苏州棱镜七彩信息科技有限公司

毕业于电子科技大学软件学院。长期从事开源安全与合规治理、DevSecOps与安全左移的产品设计开发工作,带领设计开发团队完成FossEye的产品开发并上线。FossEye自2019年11月上线,使用用户已达数十万余人,累计检测开源项目90000+个,开源漏洞库数量100000+,共导出报告80000+份,通过中国信通院各项评估,成为首批可信开源治理工具。2020年8月,与Gitee进行技术对接,已成功接入Gitee云服务,成为国内首个服务于上百万开发者和开源项目的开源治理产品。

报告题目

开源软件供应链治理分享

摘要

棱镜七彩(以下简称七彩)作为专注于开源安全、软件自主可控以及软件供应链的创新型科技企业,是较为领先的技术服务提供商。七彩在软件供应链领域长期深耕,从相关标准建设到国家重点课题研究到企业开源治理实践有全领域的丰富经验。该报告就七彩多年在开源软件供应链领域的探索和实践做出汇报。

d3d6d9821f38faa601c3d8090d069bc4.png

陈碧欢(复旦大学

复旦大学计算机科学技术学院副教授,主要研究方向包括软件供应链、智能网联汽车、AI系统工程等。研究成果发表在ICSE、FSE、S&P、TSE、TIFS等国际顶级会议和期刊,并获得3次ACM SIGSOFT杰出论文奖(FSE2016、ASE2018、ASE2022)和2次IEEE TCSE杰出论文奖(ICSME2020、SANER2022)。基于相关研究成果,研制了开源风险治理平台伏羲(http://www.se.fudan.edu.cn/fuxi/)。

报告题目

伏羲:开源软件供应链风险分析与治理

摘要

开源软件已经上升为国家级战略,对于信创和软件产业、国民经济、国防与国家安全等发挥着重要的支撑作用。然而,由于开源软件生态以及开源软件供应链日益复杂,开源软件也给软件产品带来了严峻的安全风险、法律风险、维护风险。本报告将介绍开源软件供应链风险分析与治理平台“伏羲”,并对未来发展方向进行展望。“伏羲”在高质量开源软件供应链知识(包括漏洞知识、许可证知识等)汇聚的基础上,利用一系列高精度程序分析技术(包括代码差异分析、调用图分析等)实现多种开源软件供应链风险(安全风险、法律风险等)的分析与治理服务。

782375b04d6ef34a1b31bfb0608380fd.png

肖扬(中国科学院信息工程研究所

中国科学院信息工程研究所副研究员、硕士生导师,软件供应链团队负责人,主要研究方向为软件供应链安全和软件漏洞挖掘。多项研究成果发表于S&P、USENIX Security、CCS、NDSS、ICSE、ISSTA、ASE、FSE、TOSEM等国际顶级会议和期刊,担任过TOSEM、Computer & Security、Neural Network、EMSE等期刊审稿人和ICSE、ASE等会议外部审稿人。主持或参与软件供应链国家重点研发计划、国家自然基金青年项目、华为校企合作项目等。

报告题目

软件供应链中的同源漏洞发现与修复

摘要

软件开发过程中会不可避免地引入漏洞,这些漏洞会随着开发过程中的代码复用或代码逻辑复用进行传播,导致软件中存在同源漏洞。开发者在修复漏洞时存在“见一修一”的情况,且由于软件复用多且不规范,导致下游的软件开发者不能及时感知并修复已知漏洞。其结果是攻击者可以在漏洞补丁发布后,基于发布的补丁发现与之同源的漏洞,从而利用新发现的漏洞实施攻击。为了保护软件的安全性,本报告将聚焦如何利用已发布的漏洞补丁提取准确的漏洞和修复语义信息,实现同源漏洞的高效精准发现与修复,并探讨未来的发展方向和趋势。

74c1a65bec918012faa0a5718e473827.jpeg

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1169373.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Python基础之列表、元组和字典

一文拿捏Python基本数据类型“列表、数组和字典” 引言 Python中的 列表(英文叫list) 、 元组(英文叫tuple)和字典(dictionary) 也是 序列 特性的,它们也是非常常用的数据类型。 1、列表(List) 01、概述 列表&#…

【黑马程序员】SSM框架——SSM整合

文章目录 前言一、SSM 整合1. SSM 整合思路1.1 Spring 整合 MyBatis配置模型数据层标准开发业务层标准开发测试接口事务处理 1.2 Spring 整合 SpringMVCweb 配置类SpringMVC 配置类基于 Restful 的 Controller 开发 2. SSM 整合具体实现2.1 创建工程2.2 SSM 整合SpringMyBatisS…

forward和完美转发

std::move(value)是独立于值的右值引用&#xff0c;一个右值引用参数作为函数的形参&#xff0c;在函数内部再转发该参数的时候已经变成了一个左值&#xff0c;并不是它原来的类型了。 template<typename T> void forwardValue(T& val) {processValue(value); //…

基于STC12C5A60S2系列1T 8051单片机A/D转换器应用

基于STC12C5A60S2系列1T 8051单片机A/D转换器应用 STC12C5A60S2系列1T 8051单片机管脚图STC12C5A60S2系列1T 8051单片机I/O口各种不同工作模式及配置STC12C5A60S2系列1T 8051单片机I/O口各种不同工作模式介绍STC12C5A60S2系列1T 8051单片机A/D转换器介绍STC12C5A60S2系列1T 805…

算法题:870. 优势洗牌

该算法是临时想出来的&#xff0c;Java代码的实现在时间上不占优&#xff0c;之后有时间要优化一下&#xff0c;目前就是给大家提供一下思路。 解题思路&#xff1a;田忌赛马的思想 贪心法。 Step1. 对两个数组进行排序。 Step2. 同时遍历排序后的nums2和nums1&#xff0c;将…

RAM和ROM的区别(详解)

RAM和ROM的区别 RAM&#xff08;随机存取存储器&#xff09;和ROM&#xff08;只读存储器&#xff09;都是计算机中常见的存储器类型&#xff0c;它们在计算机系统中有不同的作用和特性。 RAM&#xff08;随机存取存储器&#xff09;&#xff1a; 作用&#xff1a; 用于临时存储…

鸿蒙LiteOs读源码教程+向LiteOS中添加一个简单的基于线程运行时的短作业优先调度策略

一、鸿蒙Liteos读源码教程 鸿蒙的源码是放在openharmony文件夹下&#xff0c;openharmony下的kernel文件夹存放操作系统内核的相关代码和实现。 内核是操作系统的核心部分&#xff0c;所以像负责&#xff1a;资源管理、任务调度、内存管理、设备驱动、进程通信的源码都可以在…

利用maven的dependency插件将项目依赖从maven仓库中拷贝到一个指定的位置

https://maven.apache.org/plugins/maven-dependency-plugin/copy-dependencies-mojo.html 利用dependency:copy-dependencies可以将项目的依赖从maven仓库中拷贝到一个指定的位置。 使用默认配置拷贝依赖 如果直接执行mvn dependency:copy-dependencies&#xff0c;是将项目…

解决方案中word中分页符的使用

在投标方案中要善于使用“分页符”&#xff0c;尽可能少使用分节符号&#xff0c;没有分页符前&#xff0c;你每次修改你的标书或者文件&#xff0c;增加或者修改内容后。你的格式字段前后都是会发生变化&#xff0c;如何稳定的保证结构呢&#xff0c;那就是分页符的使用&#…

如何提高Python图像表格数据提取的准确率?

Python图像表格数据提取 1、数据来源2、目标图像3、图像文本提取4、图像灰度化与二值化可以提高识别准确率吗1、数据来源 国家统计局:http://www.stats.gov.cn/sj/ 数据来源:国家统计局中国统计年鉴2022年人口数及构成 2、目标图像 数据(部分)如下: 数据形式:http://www…

【触想智能】4U触摸工控机具有哪些优势?

工控机也叫工控主机&#xff0c;和我们常见的普通电脑主机是一样的&#xff0c;都是由CPU、主板、内存、硬盘、电源以及机箱组成的。 工控机有很多分类&#xff0c;有无风扇工控机、嵌入式工控机、上架式工控机、4U触摸工控机等。上架式工控机在市场上是比较受欢迎的&#xff0…

【数据结构】树家族

目录 树的相关术语树家族二叉树霍夫曼树二叉查找树 BST平衡二叉树 AVL红黑树伸展树替罪羊树 B树B树B* 树 当谈到数据结构中的树时&#xff0c;我们通常指的是一种分层的数据结构&#xff0c;它由节点&#xff08;nodes&#xff09;组成&#xff0c;这些节点之间以边&#xff08…

Web自动化测试 —— cookie复用

一、cookie简介 cookie是一些数据&#xff0c;存储于用户电脑的文本文件中 当web服务器想浏览器发送web页面时&#xff0c;在链接关闭后&#xff0c;服务端不会记录用户信息 二、为什么要使用Cookie自动化登录 复用浏览器仍然在每次用例开始都需要人为介入若用例需要经常执行&…

nodejs+vue+python+php在线购票系统的设计与实现-毕业设计

伴随着信息时代的到来&#xff0c;以及不断发展起来的微电子技术&#xff0c;这些都为在线购票带来了很好的发展条件。同时&#xff0c;在线购票的范围不断增大&#xff0c;这就需要有一种既能使用又能使用的、便于使用的、便于使用的系统来对其进行管理。在目前这种大环境下&a…

你渲染的3ds Max效果图为什么这么假?原来问题出在这!

有许多设计新手刚开始做效果图时&#xff0c;常常抱怨自己的作品看起来太假了&#xff0c;但又不知道怎么改。根据我的经验总结&#xff0c;我整理了以下几点可能导致你的3ds Max渲染效果图显得不够真实的原因。 1.三维模型不精致 如果模型细节不够精细&#xff0c;渲染出来的…

QT学习之QT概述

1.1 什么是QT&#xff1f; Qt是一个跨平台的C图形用户界面应用程序框架。 QT特点&#xff1a; 跨平台&#xff0c;几乎支持所有的平台接口简单&#xff0c;容易上手&#xff0c;学习QT框架对学习其他框架有参考意义。一定程度上简化了内存回收机制开发效率高&#xff0c;能够…

【Linux】 ps 命令使用

ps &#xff08;英文全拼&#xff1a;process status&#xff09;命令用于显示当前进程的状态&#xff0c;类似于 windows 的任务管理器。 语法 ps [选项] ps命令 -Linux手册页 著者 ps最初由布兰科兰克斯特撰写<lankestefwi.uva.nl>。迈克尔K约翰逊<johnsonmred…

Proteus仿真--12864LCD显示计算器键盘按键实验(仿真文件+程序)

本文主要介绍基于51单片机的12864LCD液晶显示电话拨号键盘按键实验&#xff08;完整仿真源文件及代码见文末链接&#xff09; 仿真图如下 本设计主要介绍计算器键盘仿真&#xff0c;按键按下后在12864液晶上显示对应按键键值 仿真运行视频 Proteus仿真--12864LCD显示计算器…

3.20每日一题(分部积分、换元求定积分)

类型多项式的n次幂&#xff1a; 方法一&#xff1a; 展开然后求积分 方法二&#xff1a; 换元&#xff0c;令x-1t&#xff0c;再展开 方法三&#xff1a; 把一个整体凑到dx&#xff0c;再分部积分&#xff1b;如把&#xff08;x-1&#xff09;的n次幂凑到dx&#xff0c;分部…

Docker学习——②

文章目录 1、Docker是什么1.1 Docker本质1.2 Docker的引擎迭代1.3 Docker和虚拟机的区别1.4 Docker 为什么比虚拟机资源利用率高&#xff0c;启动快&#xff1f;1.5 Docker 和 JVM 虚拟化的区别&#xff1f; 2、Docker架构3、Docker生态3.1 新时代软件诉求3.2 Docker 解决方案 …