ChinaSoft 论坛巡礼｜开源软件供应链论坛

2023年CCF中国软件大会（CCF ChinaSoft 2023）由CCF主办，CCF系统软件专委会、形式化方法专委会、软件工程专委会以及复旦大学联合承办，将于2023年12月1-3日在上海国际会议中心举行。

本次大会主题是“智能化软件创新推动数字经济与社会发展”，学术、工业、教育、竞赛等分论坛活动40余场，期待您的参与！

目前大会火热报名中！

CCF ChinaSoft 2023官方首页：

http://chinasoft.ccf.org.cn/

点击文末“阅读原文”或扫描下方二维码进入官方注册通道:

https://conf.ccf.org.cn/chinasoft2023

✦  +

+

论坛巡礼

论坛名称：开源软件供应链论坛

时间：2023年12月01日14:00-18:00

地点：上海国际会议中心，5J会议室

论坛简介：

开源软件是我国软件和信创产业的重要基础。据Gartner数据显示，99%的软件产品使用了开源软件。这些软件产品都有复杂的开源软件供应链。然而，开源软件供应链上的任何一个开源软件都有可能存在安全漏洞、许可证、兼容性等问题，严重提高了软件产品使用开源软件的安全风险、法律风险、维护风险。因此，发展开源软件供应链可信分析与保障技术，提升我国软件和信创产业的自主、可控与安全，是工业界和学术界的必由之路。本次论坛将邀请来自企业的业界专家以及来自高校的研究学者共同围绕这一话题进行专题报告和讨论，分享工业界和学术界研究与实践的最新发展，共同探讨未来的技术发展趋势。

日程安排

Schedule

论坛主席

  Forum Chair

陈碧欢（复旦大学）

复旦大学计算机科学技术学院副教授，主要研究方向包括软件供应链、智能网联汽车、AI系统工程等。研究成果发表在ICSE、FSE、S&P、TSE、TIFS等国际顶级会议和期刊，并获得3次ACM SIGSOFT杰出论文奖（FSE2016、ASE2018、ASE2022）和2次IEEE TCSE杰出论文奖（ICSME2020、SANER2022）。基于相关研究成果，研制了开源风险治理平台伏羲（http://www.se.fudan.edu.cn/fuxi/）。

彭鑫（复旦大学）

复旦大学计算机科学技术学院副院长、教授。中国计算机学会（CCF）杰出会员、软件工程专委会副主任、开源发展委员会常务委员，上海市计算机学会青工委主任，《Journal of Software: Evolution and Process》联合主编（Co-Editor），《ACM Transactions on Software Engineering and Methodology》、《Empirical Software Engineering》、《Automated Software Engineering》、《软件学报》等期刊编委。2016年获得NASAC青年软件创新奖。主要研究方向包括软件智能化开发、云原生与智能化运维、泛在计算软件系统、智能网联汽车等。研究工作多次获得IEEE Transactions on Software Engineering年度最佳论文奖、ICSM最佳论文奖、ACM SIGSOFT杰出论文奖、IEEE TCSE杰出论文奖等奖项。担任2022年与2023年CCF中国软件大会（ChinaSoft）组织委员会主席与程序委员会共同主席，以及ICSE、FSE、ASE、ISSTA等会议程序委员会委员。

黄凯锋（复旦大学）

复旦大学计算机科学技术学院博士后，2022年毕业于复旦大学获得博士学位。研究兴趣包括软件工程、软件安全、软件演化，至今在ASE、FSE、ICSME、EMSE等软件工程领域知名会议和期刊发表共9篇研究论文。部分研究成果在华为、荣耀等企业落地。他曾获得ACM SIGSOFT优秀论文奖（ASE 2018）、IEEE TCSE 优秀论文奖（ICSME 2020）、CCF原型工具竞赛二等奖（2018、2020）、复旦大学超级博士后等荣誉与称号。

论坛嘉宾

Forum Guests

刘杨（新加坡南洋理工大学）

新加坡南洋理工大学（NTU）计算机学院教授，NTU网络安全实验室主任，新加坡网络安全研究办公室主任，并于2019年荣获大学领袖论坛讲席教授。刘杨博士专攻软件工程，网络安全和人工智能，其研究填补了软件分析中理论和实际应用之间的空白，研发了多款高效的软件质量和安全检测平台并成功商业化。到目前为止，他已经在顶级会议和顶级期刊上发表了超过500篇文章，并在顶级软件工程会议上获得20项最佳论文奖以及最具影响力软件奖。他还获得多项著名奖项，包括MSRA fellowship，TRF Fellowship, 南洋助理教授，Tan Chin Tuan Fellowship，Nanyang Research Award 2019， ACM杰出演讲人，新加坡国家基金研究会评审员和NTU创新者（创业）奖。

报告题目

软件基因组计划 — 基于开源软件基因分析的自动化风险监管与治理平台

摘要

随着现代化软件开发的日益发展，开源软件被广泛应用于各行各业并已成为不可或缺的重要组成部分。随着开源生态的逐渐壮大，代码本身的复杂性和多样性给软件生态带来了巨大的活力。然而随着开源软件的普及，其自由、开放、灵活的特性也给开源软件带来了诸多问题， 如开源软件质量参差不齐，安全性难以保障，缺乏专业管理团队，技术支持与维护缺失，软件合规性模糊，存在可持续性风险等。这也给第三方成分的合理使用和监管带来了巨大的挑战。为了应对这些挑战，我们提出面向开源软件安全监管与利用的软件基因组计划。该计划通过细粒度地识别和标注整合和分类代码特征，有效识别不同粒度的功能实现和非功能需求的保障措施，构建出一套完整的软件基因图谱，帮助开发者和管理者深入理解软件的复杂性和多样性。通过剖析和总结功能性基因和不良基因，软件基因组计划有助于促进针对性的软件修复和优化，为整个软件生态提供宝贵的洞察与理解，并支持技术选型和开源治理等关键开发任务。这一计划有望推动软件开发的演进，实现更高效、可靠和可持续的软件解决方案。

刘波（华为）

软件工程首席专家、openEuler开源社区软件供应链安全负责人。

报告题目

开源社区软件供应链安全解决方案与实践

摘要

OpenSSF、Google、Microsoft、RedHat等在软件供应链安全框架、开源与商业工具链、和生态上全面布局，业界对开源软件供应链安全在2021年提升到前所未有的高度，已成为全球 IT 界的一项重大运动。本次报告通过洞察业界关键实践SBOM、ScoreCard、OSV、Open Source Insight、Assured OSS、SLSA软件制品供应链安全级别、S2C2F开源软件安全供应链消费框架S2C2F等，给出整体解决方案包括构建安全、编码安全、开源合规、漏洞安全、应急响应等，并分享在openEuler社区落地的实践。

蔡立志（上海计算机软件技术开发中心）

博士，研究员，上海市技术带头人。现任上海计算机软件技术开发中心主任，从事软件质量、信息安全相关技术研究。参与国家、省部级科研课题5项，获得发明专利授权10项，出版专著9本，审定辞典4本，发表论文135篇，编制国际、国家、军工行业等各类标准118项，其中主持的国际标准ISO/IEC 25020-2019是软件质量领域第一个由中国专家主持编制的国际标准，研制的国家标准被400多个软件测试实验室采用。中组部19批博士服务团成员，荣获中共青海省委组织部颁发的“来青服务优秀博士”荣誉称号。获得“昆仑英才”计划领军人才、春申金字塔卓越人才。荣获上海市科技进步二等奖、上海市科技进步三等奖、中国电子学会科技进步奖等多项荣誉。

报告题目

开源软件供应链安全与治理探索

摘要

开源软件的流行和广泛使用，存在着供应链安全的风险。在源代码、项目发起者和维护者、开发者、社区等多方组成的开源软件供应链上，需要特别关注供应链可见性、代码信源可信性、依赖漏洞、社区与生态系统弱点等安全风险。从开源治理标准规范、治理与评估方法、攻击防护手段等展开介绍治理实践探索。

吴敬征（中国科学院软件研究所）

中国科学院软件研究所研究员，博导，软件所杰出青年科技人才。主要研究方向为操作系统、系统安全、开源软件供应链安全、漏洞挖掘、代码分析等。在国内外期刊和会议发表学术论文70余篇，授权国家专利30余项，获得软件著作权40余项、编写鸿蒙技术书籍2部、操作系统安全书籍1部、参与系统安全团体标准编制7项、累计向国内外安全漏洞库提交软件安全漏洞200余项。主持自然科学基金、重点研发计划课题等10余项。曾荣获北京市科技进步一等奖、通信学会科技进步二等奖、电子学会科技进步二等奖等。

报告题目

“源图”：开源软件供应链安全实践

摘要

开源软件供应链是信息产业发展的新“引擎”，是开源生态技术底座。基于中国科学院软件研究所建设的开源软件供应链供应链平台“源图”，介绍开源生态亟需应对的与日俱增的安全风险，分享开源软件供应链投毒检测、关键软件缺陷检测、开源软件合规性检测等实践场景中的一些经验。

唐忱（苏州棱镜七彩信息科技有限公司）

毕业于电子科技大学软件学院。长期从事开源安全与合规治理、DevSecOps与安全左移的产品设计开发工作，带领设计开发团队完成FossEye的产品开发并上线。FossEye自2019年11月上线，使用用户已达数十万余人，累计检测开源项目90000+个，开源漏洞库数量100000+，共导出报告80000+份，通过中国信通院各项评估，成为首批可信开源治理工具。2020年8月，与Gitee进行技术对接，已成功接入Gitee云服务，成为国内首个服务于上百万开发者和开源项目的开源治理产品。

报告题目

开源软件供应链治理分享

摘要

棱镜七彩（以下简称七彩）作为专注于开源安全、软件自主可控以及软件供应链的创新型科技企业，是较为领先的技术服务提供商。七彩在软件供应链领域长期深耕，从相关标准建设到国家重点课题研究到企业开源治理实践有全领域的丰富经验。该报告就七彩多年在开源软件供应链领域的探索和实践做出汇报。

陈碧欢（复旦大学）

复旦大学计算机科学技术学院副教授，主要研究方向包括软件供应链、智能网联汽车、AI系统工程等。研究成果发表在ICSE、FSE、S&P、TSE、TIFS等国际顶级会议和期刊，并获得3次ACM SIGSOFT杰出论文奖（FSE2016、ASE2018、ASE2022）和2次IEEE TCSE杰出论文奖（ICSME2020、SANER2022）。基于相关研究成果，研制了开源风险治理平台伏羲（http://www.se.fudan.edu.cn/fuxi/）。

报告题目

伏羲：开源软件供应链风险分析与治理

摘要

开源软件已经上升为国家级战略，对于信创和软件产业、国民经济、国防与国家安全等发挥着重要的支撑作用。然而，由于开源软件生态以及开源软件供应链日益复杂，开源软件也给软件产品带来了严峻的安全风险、法律风险、维护风险。本报告将介绍开源软件供应链风险分析与治理平台“伏羲”，并对未来发展方向进行展望。“伏羲”在高质量开源软件供应链知识（包括漏洞知识、许可证知识等）汇聚的基础上，利用一系列高精度程序分析技术（包括代码差异分析、调用图分析等）实现多种开源软件供应链风险（安全风险、法律风险等）的分析与治理服务。

肖扬（中国科学院信息工程研究所）

中国科学院信息工程研究所副研究员、硕士生导师，软件供应链团队负责人，主要研究方向为软件供应链安全和软件漏洞挖掘。多项研究成果发表于S&P、USENIX Security、CCS、NDSS、ICSE、ISSTA、ASE、FSE、TOSEM等国际顶级会议和期刊，担任过TOSEM、Computer & Security、Neural Network、EMSE等期刊审稿人和ICSE、ASE等会议外部审稿人。主持或参与软件供应链国家重点研发计划、国家自然基金青年项目、华为校企合作项目等。

报告题目

软件供应链中的同源漏洞发现与修复

摘要

软件开发过程中会不可避免地引入漏洞，这些漏洞会随着开发过程中的代码复用或代码逻辑复用进行传播，导致软件中存在同源漏洞。开发者在修复漏洞时存在“见一修一”的情况，且由于软件复用多且不规范，导致下游的软件开发者不能及时感知并修复已知漏洞。其结果是攻击者可以在漏洞补丁发布后，基于发布的补丁发现与之同源的漏洞，从而利用新发现的漏洞实施攻击。为了保护软件的安全性，本报告将聚焦如何利用已发布的漏洞补丁提取准确的漏洞和修复语义信息，实现同源漏洞的高效精准发现与修复，并探讨未来的发展方向和趋势。