ChinaSoft 论坛巡礼|开源软件供应链论坛

2023年CCF中国软件大会(CCF ChinaSoft 2023)由CCF主办,CCF系统软件专委会、形式化方法专委会、软件工程专委会以及复旦大学联合承办,将于2023年12月1-3日上海国际会议中心举行。

本次大会主题是“智能化软件创新推动数字经济与社会发展”,学术、工业、教育、竞赛等分论坛活动40余场,期待您的参与!

目前大会火热报名中!

CCF ChinaSoft 2023官方首页:

http://chinasoft.ccf.org.cn/

点击文末“阅读原文”或扫描下方二维码进入官方注册通道:

https://conf.ccf.org.cn/chinasoft2023

62ac9a07e5cea46382014b08dc455d99.jpeg

b051e8d2810cd4f0c1c89124c1431745.jpeg

✦  +

+

论坛巡礼

论坛名称:开源软件供应链论坛

时间:2023年12月01日14:00-18:00

地点:上海国际会议中心,5J会议室

论坛简介:

开源软件是我国软件和信创产业的重要基础。据Gartner数据显示,99%的软件产品使用了开源软件。这些软件产品都有复杂的开源软件供应链。然而,开源软件供应链上的任何一个开源软件都有可能存在安全漏洞、许可证、兼容性等问题,严重提高了软件产品使用开源软件的安全风险、法律风险、维护风险。因此,发展开源软件供应链可信分析与保障技术,提升我国软件和信创产业的自主、可控与安全,是工业界和学术界的必由之路。本次论坛将邀请来自企业的业界专家以及来自高校的研究学者共同围绕这一话题进行专题报告和讨论,分享工业界和学术界研究与实践的最新发展,共同探讨未来的技术发展趋势。

日程安排

Schedule

d6a06688eaa0ebfbbbef35e44f70e99e.png

论坛主席

  Forum Chair

f264b5927d91c7d9bbc3b27764a65efb.png

陈碧欢复旦大学

复旦大学计算机科学技术学院副教授,主要研究方向包括软件供应链、智能网联汽车、AI系统工程等。研究成果发表在ICSE、FSE、S&P、TSE、TIFS等国际顶级会议和期刊,并获得3次ACM SIGSOFT杰出论文奖(FSE2016、ASE2018、ASE2022)和2次IEEE TCSE杰出论文奖(ICSME2020、SANER2022)。基于相关研究成果,研制了开源风险治理平台伏羲(http://www.se.fudan.edu.cn/fuxi/)。

efaa882134c708dc4b1e9ef3f53193e2.png

彭鑫(复旦大学

复旦大学计算机科学技术学院副院长、教授。中国计算机学会(CCF)杰出会员、软件工程专委会副主任、开源发展委员会常务委员,上海市计算机学会青工委主任,《Journal of Software: Evolution and Process》联合主编(Co-Editor),《ACM Transactions on Software Engineering and Methodology》、《Empirical Software Engineering》、《Automated Software Engineering》、《软件学报》等期刊编委。2016年获得NASAC青年软件创新奖。主要研究方向包括软件智能化开发、云原生与智能化运维、泛在计算软件系统、智能网联汽车等。研究工作多次获得IEEE Transactions on Software Engineering年度最佳论文奖、ICSM最佳论文奖、ACM SIGSOFT杰出论文奖、IEEE TCSE杰出论文奖等奖项。担任2022年与2023年CCF中国软件大会(ChinaSoft)组织委员会主席与程序委员会共同主席,以及ICSE、FSE、ASE、ISSTA等会议程序委员会委员。

335f53e6390e381d5c13cd0bcd42fce0.png

黄凯锋(复旦大学

复旦大学计算机科学技术学院博士后,2022年毕业于复旦大学获得博士学位。研究兴趣包括软件工程、软件安全、软件演化,至今在ASE、FSE、ICSME、EMSE等软件工程领域知名会议和期刊发表共9篇研究论文。部分研究成果在华为、荣耀等企业落地。他曾获得ACM SIGSOFT优秀论文奖(ASE 2018)、IEEE TCSE 优秀论文奖(ICSME 2020)、CCF原型工具竞赛二等奖(2018、2020)、复旦大学超级博士后等荣誉与称号。

论坛嘉宾

Forum Guests

5745a32083a93334c79e67dffd0cdc00.png

刘杨新加坡南洋理工大学

新加坡南洋理工大学(NTU)计算机学院教授,NTU网络安全实验室主任,新加坡网络安全研究办公室主任,并于2019年荣获大学领袖论坛讲席教授。刘杨博士专攻软件工程,网络安全和人工智能,其研究填补了软件分析中理论和实际应用之间的空白,研发了多款高效的软件质量和安全检测平台并成功商业化。到目前为止,他已经在顶级会议和顶级期刊上发表了超过500篇文章,并在顶级软件工程会议上获得20项最佳论文奖以及最具影响力软件奖。他还获得多项著名奖项,包括MSRA fellowship,TRF Fellowship, 南洋助理教授,Tan Chin Tuan Fellowship,Nanyang Research Award 2019, ACM杰出演讲人,新加坡国家基金研究会评审员和NTU创新者(创业)奖。

报告题目

软件基因组计划 — 基于开源软件基因分析的自动化风险监管与治理平台

摘要

随着现代化软件开发的日益发展,开源软件被广泛应用于各行各业并已成为不可或缺的重要组成部分。随着开源生态的逐渐壮大,代码本身的复杂性和多样性给软件生态带来了巨大的活力。然而随着开源软件的普及,其自由、开放、灵活的特性也给开源软件带来了诸多问题, 如开源软件质量参差不齐,安全性难以保障,缺乏专业管理团队,技术支持与维护缺失,软件合规性模糊,存在可持续性风险等。这也给第三方成分的合理使用和监管带来了巨大的挑战。为了应对这些挑战,我们提出面向开源软件安全监管与利用的软件基因组计划。该计划通过细粒度地识别和标注整合和分类代码特征,有效识别不同粒度的功能实现和非功能需求的保障措施,构建出一套完整的软件基因图谱,帮助开发者和管理者深入理解软件的复杂性和多样性。通过剖析和总结功能性基因和不良基因,软件基因组计划有助于促进针对性的软件修复和优化,为整个软件生态提供宝贵的洞察与理解,并支持技术选型和开源治理等关键开发任务。这一计划有望推动软件开发的演进,实现更高效、可靠和可持续的软件解决方案。

a7621db3911dfa40a2ecc4384c488d43.png

刘波(华为

软件工程首席专家、openEuler开源社区软件供应链安全负责人。

报告题目

开源社区软件供应链安全解决方案与实践

摘要

OpenSSF、Google、Microsoft、RedHat等在软件供应链安全框架、开源与商业工具链、和生态上全面布局,业界对开源软件供应链安全在2021年提升到前所未有的高度,已成为全球 IT 界的一项重大运动。本次报告通过洞察业界关键实践SBOM、ScoreCard、OSV、Open Source Insight、Assured OSS、SLSA软件制品供应链安全级别、S2C2F开源软件安全供应链消费框架S2C2F等,给出整体解决方案包括构建安全、编码安全、开源合规、漏洞安全、应急响应等,并分享在openEuler社区落地的实践。

e38afd60523ba47778a91b5934bb0edd.png

蔡立志(上海计算机软件技术开发中心

博士,研究员,上海市技术带头人。现任上海计算机软件技术开发中心主任,从事软件质量、信息安全相关技术研究。参与国家、省部级科研课题5项,获得发明专利授权10项,出版专著9本,审定辞典4本,发表论文135篇,编制国际、国家、军工行业等各类标准118项,其中主持的国际标准ISO/IEC 25020-2019是软件质量领域第一个由中国专家主持编制的国际标准,研制的国家标准被400多个软件测试实验室采用。中组部19批博士服务团成员,荣获中共青海省委组织部颁发的“来青服务优秀博士”荣誉称号。获得“昆仑英才”计划领军人才、春申金字塔卓越人才。荣获上海市科技进步二等奖、上海市科技进步三等奖、中国电子学会科技进步奖等多项荣誉。

报告题目

开源软件供应链安全与治理探索

摘要

开源软件的流行和广泛使用,存在着供应链安全的风险。在源代码、项目发起者和维护者、开发者、社区等多方组成的开源软件供应链上,需要特别关注供应链可见性、代码信源可信性、依赖漏洞、社区与生态系统弱点等安全风险。从开源治理标准规范、治理与评估方法、攻击防护手段等展开介绍治理实践探索。

cd98384d5dc5e034697895765356250a.png

吴敬征(中国科学院软件研究所

中国科学院软件研究所研究员,博导,软件所杰出青年科技人才。主要研究方向为操作系统、系统安全、开源软件供应链安全、漏洞挖掘、代码分析等。在国内外期刊和会议发表学术论文70余篇,授权国家专利30余项,获得软件著作权40余项、编写鸿蒙技术书籍2部、操作系统安全书籍1部、参与系统安全团体标准编制7项、累计向国内外安全漏洞库提交软件安全漏洞200余项。主持自然科学基金、重点研发计划课题等10余项。曾荣获北京市科技进步一等奖、通信学会科技进步二等奖、电子学会科技进步二等奖等。

报告题目

“源图”:开源软件供应链安全实践

摘要

开源软件供应链是信息产业发展的新“引擎”,是开源生态技术底座。基于中国科学院软件研究所建设的开源软件供应链供应链平台“源图”,介绍开源生态亟需应对的与日俱增的安全风险,分享开源软件供应链投毒检测、关键软件缺陷检测、开源软件合规性检测等实践场景中的一些经验。

b31553b14cd0703466ebe669e20c07b2.png

唐忱(苏州棱镜七彩信息科技有限公司

毕业于电子科技大学软件学院。长期从事开源安全与合规治理、DevSecOps与安全左移的产品设计开发工作,带领设计开发团队完成FossEye的产品开发并上线。FossEye自2019年11月上线,使用用户已达数十万余人,累计检测开源项目90000+个,开源漏洞库数量100000+,共导出报告80000+份,通过中国信通院各项评估,成为首批可信开源治理工具。2020年8月,与Gitee进行技术对接,已成功接入Gitee云服务,成为国内首个服务于上百万开发者和开源项目的开源治理产品。

报告题目

开源软件供应链治理分享

摘要

棱镜七彩(以下简称七彩)作为专注于开源安全、软件自主可控以及软件供应链的创新型科技企业,是较为领先的技术服务提供商。七彩在软件供应链领域长期深耕,从相关标准建设到国家重点课题研究到企业开源治理实践有全领域的丰富经验。该报告就七彩多年在开源软件供应链领域的探索和实践做出汇报。

d3d6d9821f38faa601c3d8090d069bc4.png

陈碧欢(复旦大学

复旦大学计算机科学技术学院副教授,主要研究方向包括软件供应链、智能网联汽车、AI系统工程等。研究成果发表在ICSE、FSE、S&P、TSE、TIFS等国际顶级会议和期刊,并获得3次ACM SIGSOFT杰出论文奖(FSE2016、ASE2018、ASE2022)和2次IEEE TCSE杰出论文奖(ICSME2020、SANER2022)。基于相关研究成果,研制了开源风险治理平台伏羲(http://www.se.fudan.edu.cn/fuxi/)。

报告题目

伏羲:开源软件供应链风险分析与治理

摘要

开源软件已经上升为国家级战略,对于信创和软件产业、国民经济、国防与国家安全等发挥着重要的支撑作用。然而,由于开源软件生态以及开源软件供应链日益复杂,开源软件也给软件产品带来了严峻的安全风险、法律风险、维护风险。本报告将介绍开源软件供应链风险分析与治理平台“伏羲”,并对未来发展方向进行展望。“伏羲”在高质量开源软件供应链知识(包括漏洞知识、许可证知识等)汇聚的基础上,利用一系列高精度程序分析技术(包括代码差异分析、调用图分析等)实现多种开源软件供应链风险(安全风险、法律风险等)的分析与治理服务。

782375b04d6ef34a1b31bfb0608380fd.png

肖扬(中国科学院信息工程研究所

中国科学院信息工程研究所副研究员、硕士生导师,软件供应链团队负责人,主要研究方向为软件供应链安全和软件漏洞挖掘。多项研究成果发表于S&P、USENIX Security、CCS、NDSS、ICSE、ISSTA、ASE、FSE、TOSEM等国际顶级会议和期刊,担任过TOSEM、Computer & Security、Neural Network、EMSE等期刊审稿人和ICSE、ASE等会议外部审稿人。主持或参与软件供应链国家重点研发计划、国家自然基金青年项目、华为校企合作项目等。

报告题目

软件供应链中的同源漏洞发现与修复

摘要

软件开发过程中会不可避免地引入漏洞,这些漏洞会随着开发过程中的代码复用或代码逻辑复用进行传播,导致软件中存在同源漏洞。开发者在修复漏洞时存在“见一修一”的情况,且由于软件复用多且不规范,导致下游的软件开发者不能及时感知并修复已知漏洞。其结果是攻击者可以在漏洞补丁发布后,基于发布的补丁发现与之同源的漏洞,从而利用新发现的漏洞实施攻击。为了保护软件的安全性,本报告将聚焦如何利用已发布的漏洞补丁提取准确的漏洞和修复语义信息,实现同源漏洞的高效精准发现与修复,并探讨未来的发展方向和趋势。

74c1a65bec918012faa0a5718e473827.jpeg

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/179797.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【Redis】Java连接Redis及Java操作Redis常用数据类型

一,Java连接Redis 1.1 连接前端服务器 打开RedisDesktopManager并连接Redis 不知道可看我上一篇文章: 【Redis】安装(Linux&window)及Redis的常用命令-CSDN博客 1.2 后端依赖 导入相关的jedis依赖 注意:要在dependencies标签中导入…

A股风格因子看板 (2023.11第01期)

该因子看板跟踪A股风格因子,该因子主要解释沪深两市的市场收益、刻画市场风格趋势的系列风格因子,用以分析市场风格切换、组合风格暴露等。 今日为该因子跟踪第01期,指数组合数据截止日2023-10-31,要点如下 近1年A股风格因子收益走…

Apache HttpClient库编写的Scala程序

Apache HttpClient库编写的Scala下载器程序,用于下载图片。代码如下: import org.apache.http.HttpHost import org.apache.http.client.HttpClients import org.apache.http.client.methods.HttpHead import org.apache.http.impl.client.CloseableHtt…

Python:PDF转长图像和分页图像

简介:随着电子化文档的普及,PDF文件的使用频率越来越高。有时我们需要将PDF中的内容转化为图片格式进行分享或编辑,那么如何才能轻松地完成此任务呢?本文将为你展示一个Python工具:如何将PDF文件转化为图片&#xff0c…

JumpServer开源堡垒机与万里安全数据库完成兼容性认证

近日,中国领先的开源软件提供商FIT2CLOUD飞致云宣布,JumpServer开源堡垒机已经与万里安全数据库软件GreatDB完成兼容性认证。针对产品的功能、性能、兼容性方面,经过双方共同测试,万里安全数据库软件(简称:…

纷享销客荣获最佳制造业数字营销服务商奖

2023年10月26日,第二届中国制造业数智化发展大会在上海盛大召开。本次大会汇聚了制造行业的顶尖企业和专家,共同探讨如何通过数字化转型赋能企业自身成长,实现信息化向数字化的升级转型。 在本次盛会上,纷享销客以其卓越的基本面、…

SNAP打开影像失败No appropriate reader found

SNAP打开影像失败No appropriate reader found 问题描述 原因 这是我前几周用的,还有这些模块,但不知道何时,这些模块就少了 重装一下吧,可能是误删东西了 解决方案 重装了一下,就能够打开了 装完之后又有这些模…

【3D图像分割】基于 Pytorch 的 VNet 3D 图像分割3(3D UNet 模型篇)

在本文中,主要是对3D UNet 进行一个学习和梳理。对于3D UNet 网上的资料和GitHub直接获取的代码很多,不需要自己从0开始。那么本文的目的是啥呢? 本文就是想拆解下其中的结构,看看对于一个3D的UNet,和2D的UNet&#x…

项目实战:修改水果库存系统特定库存记录

1、在edit.html修改库存页面添加点击事件 <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><title>Title</title><link rel"stylesheet" href"style/index.css"><script s…

AI:51-基于深度学习的电影评价

🚀 本文选自专栏:AI领域专栏 从基础到实践,深入了解算法、案例和最新趋势。无论你是初学者还是经验丰富的数据科学家,通过案例和项目实践,掌握核心概念和实用技能。每篇案例都包含代码实例,详细讲解供大家学习。 📌📌📌本专栏包含以下学习方向: 机器学习、深度学…

【计算机网络】网络层:数据平面

一.网络层概述 每台路由器的数据平面的主要功能时从其输入链路向其输出链路转发数据报&#xff0c;控制平面的主要功能是协调这些本地的每路由转发动作&#xff0c;使得数据报沿着源和目的地主机之间的路由器路径最终进行端到端传送。 网络层不运行运输层和应用层协议。 转发是…

性能优于BERT的FLAIR:一篇文章入门Flair模型

文章目录 What is FLAIR&#xff1f;FLAIR ModelContextual String Embedding for Sequence Labelingexample FLAIR Application AreaSentiment AnalysisNamed Entity RecognitionText Classification FLAIR一、什么是FLAIR&#xff1f;二、FLAIR Library的优势是什么&#xff…

基于51单片机电子秤-proteus仿真-源程序

一、系统方案 本设计采用52单片机作为主控器&#xff0c;液晶1602显示&#xff0c;HX711模块&#xff0c;按键设置单价&#xff0c;计算总价&#xff0c;超量程报警&#xff0c;蜂鸣器报警。 二、硬件设计 原理图如下&#xff1a; 三、单片机软件设计 1、首先是系统初始化 I…

界面控件DevExpress WinForms Gauge组件 - 实现更高级别数据可视化

DevExpress WinForms控件包含了超过150个随时可用的仪表盘预设&#xff0c;包括圆形&#xff0c;数字&#xff0c;线性和状态指示器等&#xff0c;来帮助用户实现更高级的数据可视化。 DevExpress WinForms有180组件和UI库&#xff0c;能为Windows Forms平台创建具有影响力的业…

H5ke9

上次fetvh就一个参数url,,就是get请求 fetch还可以第二个参数对象,可以指定method:改为POST 请求头header :发送txt,servlet,json给客户端,,异步请求图片 1 这节客户端传到服务器端 2异步文件上传,两三行代码把文件传输 mouseover事件 .then()的使用 是Promise对象的一个方法…

HT6818 低 EMI 音频功率放大器

HT6818是一款具有低EMI、防削顶失真功能的立体声免输出滤波器D类音频功率放大器。AROC辐射和传导干扰抑Z电路使HT6818具有全带宽低辐射性能&#xff0c;在不加辅助滤波设计、输出喇叭线长20cm时的辐射水平远在FCC Part15Class B 标准之下。 HT6818的防削顶失真功能可检测并抑Z由…

C/C++网络编程基础知识超详细讲解第二部分(系统性学习day12)

懒大王感谢大家的关注和三连支持~ 目录 前言 一、UDP编程 UDP特点&#xff1a; UDP框架: UDP函数学习 发送端代码案例如下&#xff1a; 二、多路复用 前提讲述 select poll 三、图解如下 总结 前言 作者简介&#xff1a; 懒大王敲代码&#xff0c;…

C++定义一个 Student 类,在该类定义中包括:一个数据成员 score(分数)及两个静态数据 成员 total(总分)和学生人数 count

完整代码&#xff1a; /*声明一个Student类&#xff0c;在该类中包括一个数据成员score&#xff08;分数&#xff09;、两个静态数据成员total_score&#xff08;总分&#xff09;和count&#xff08;学生人数&#xff09;&#xff1b;还包括一个成员函数account&#xff08;&…

03、最长连续数列:给定一个未排序的整数数组 nums ,找出数字连续的最长序列(不要求序列元素在原数组中连续)的长度

文章目录 1、题目描述1.1 移动所有零至数组末尾1.2 示例 2、解题思路2.1 思路讲解2.2 动画演示&#xff08; 待补充&#xff09; 3、答案3.1 Java 代码3.2 运行结果 4、视频讲解&#xff08; 待补充&#xff09; 1、题目描述 1.1 移动所有零至数组末尾 给定一个未排序的整数数…

离散数学实践(2)-编程实现关系性质的判断

*本文为博主本人校内的离散数学专业课的实践作业。由于实验步骤已经比较详细&#xff0c;故不再对该实验额外提供详解&#xff0c;本文仅提供填写的实验报告内容与代码部分&#xff0c;以供有需要的同学学习、参考。 -------------------------------------- 编程语言&#xff…