BCS2022| InForSec软件供应链安学术交流会将于7月27日召开

7月27日上午，网络安全研究国际学术论坛（InForSec）将于北京网络安全大会（BCS）“学术日”举办题为“软件供应链安全”的学术交流会。

会议由清华大学（网络研究院）-奇安信联合研究中心研究员应凌云主持，会上将有来自复旦大学、清华大学（网络研究院）-奇安信联合研究中心、浙江大学、蚂蚁集团、香港中文大学的学者们分享研究过程中的灵感、经验和体会。 

来自复旦大学计算机科学与技术学院的谈心博士将进行主题为“基于漏洞-代码提交关系排序的开源软件漏洞补丁定位研究”的演讲。在报告中，他将介绍一种基于排名的补丁定位方法——PatchScout。PatchScout根据开源软件代码库中每一个代码提交（commit）与目标漏洞的关联性强弱，对软件仓库中所有的代码提交进行排序。

来自复旦大学软件学院戴嘉润博士将带来“基于PoC移植的漏洞影响范围评估”的演讲。在报告中，他提出了“PoC移植”技术以验证漏洞的版本影响范围。该技术基于参考版本的公开PoC，在不同的待测版本上，通过模糊测试技术尝试生成能够触发同一目标漏洞的PoC，以此验证漏洞的存在性与可触发性。具体而言，该方案首先收集参考版本的漏洞触发路径，并用该路径指导待测版本的PoC调整。

来自清华大学（网络研究院）-奇安信联合研究中心的谷雅聪将进行主题为“软件供应链安全：不只是软件成分分析”的演讲。基于对全网软件空间的大规模测绘，持续对软件供应链进行全周期、全链条的分析与研究，谷雅聪将分享其在npm、Maven、PyPI等主流软件生态上发现的一系列新的安全问题，并对软件供应链安全治理进行展望。

来自浙江大学&蚂蚁集团的潘高宁将进行主题为“V-SHUTTLE ：规模化和语义感知的虚拟机模拟设备模糊测试”的演讲。在报告中，他提出了可规模化和语义感知的框架 V-SHUTTLE，支持对虚拟机管理器中的虚拟设备进行模糊测试。V-SHUTTLE 具有可移植性，能够利用覆盖率引导的模糊测试技术，对不同虚拟机管理器中的设备进行模糊测试。此外，V-SHUTTLE 可以针对多种设备有效执行广泛的模糊测试。

来自浙江大学计算机科学与技术学院的付丽嫆博士将进行主题为“CPscan：代码删除引入的物联网内核漏洞检测”的演讲。为了检测由IoT内核代码修剪引起的错误，研究结构感知的图匹配算法和与安全操作关联的关键变量的使用链收集技术，以精确定位被删除的安全操作并推断其安全影响，付丽嫆博士及其研究团队设计实现IoT内核漏洞检测系统CPscan。

来自香港中文大学计算机科学与工程学系的博士李卓华将进行主题为“MirChecker：针对 Rust 的静态分析与漏洞检测工具”的演讲。届时，他将分享研究团队开发的静态分析工具MirChecker。该工具可以自动分析Rust 编译器产生的中级中间表示（MIR），并收集关于程序的数值与符号信息，然后通过约束求解技术生成诊断信息，对可能出错的代码输出警告信息。