近两年来,软件供应链安全事件呈快速增长态势,已经引起学术界和产业界一致的高度关注,而软件供应链安全相关的技术仍面临多重现实挑战。为促进网络空间安全研究的学术交流,了解国际网络空间安全最新学术动态,网络安全研究国际学术论坛(InForSec)将于北京网络安全大会(BCS)“学术日”——2022年7月27日(周三)上午举办题为“软件供应链安全”的学术交流会,将邀请软件供应链安全相关方向国际最新的研究成果进行交流,并分享学者们研究过程中的灵感、经验和体会。
主题:软件供应链安全
时间:2022年7月27日(周三)9:00-12:00
主办:网络安全研究国际学术论坛(InForSec)
协办:复旦大学系统软件与安全实验室
中国科学院软件研究所可信计算与信息保障实验室
百度安全
奇安信集团
蚂蚁集团
阿里安全
InForSec
7月15日
会议议程
7月27日上午
主持人:应凌云 清华大学(网络研究院)-奇安信联合研究中心研究员
# 9:00-9:30 基于漏洞-代码提交关系排序的开源软件漏洞补丁定位研究(CCS 2021)
谈 心 复旦大学
# 9:30-10:00 基于PoC移植的漏洞影响范围评估(CCS 2021)
戴嘉润 复旦大学
# 10:00-10:30 软件供应链安全:不只是软件成分分析
谷雅聪 清华大学(网络研究院)-奇安信联合研究中心
# 10:30-11:00 V-SHUTTLE :规模化和语义感知的虚拟机模拟设备模糊测试(CCS2021最佳论文)
潘高宁 浙江大学&蚂蚁集团
# 11:00-11:30 CPscan:代码删除引入的物联网内核漏洞检测(CCS 2021)
付丽嫆 浙江大学
# 11:30-12:00 MirChecker:针对 Rust 的静态分析与漏洞检测工具(CCS 2021)
李卓华 香港中文大学
演讲嘉宾及内容介绍
谈心 复旦大学计算机科学与技术学院
演讲主题:基于漏洞-代码提交关系排序的开源软件漏洞补丁定位研究
内容摘要:
近来,开源软件漏洞带来的安全威胁日益严峻,安全补丁在抵御这类安全威胁时发挥了重要作用。然而,我们发现对大部分研究者而言,安全补丁的定位和收集仍然是一个具有挑战性的问题。现有的补丁定位工具主要采用基于关键信息匹配的设计思路,他们通过采集CVE/NVD中的辅助信息来减少补丁的搜索范围。然而,我们的初步研究表明,这些方法即使在人工协助下也只能覆盖一部分(约12%-53%)公开的开源软件漏洞。
针对这一问题,本文提出了一种基于排名的补丁定位方法——PatchScout。PatchScout根据开源软件代码库中每一个代码提交(commit)与目标漏洞的关联性强弱对软件仓库中所有的代码提交进行排序。与其他代码提交相比,漏洞对应的修复补丁天然地与漏洞存在更强的关联性,因此补丁对应的代码提交会被PatchScout排在前列。从而研究者能够快速的根据排序结果定位出安全补丁。与现有的工作相比,PatchScout可以帮助找到更多的安全补丁,并在补丁覆盖率和人工工作量之间达到平衡。我们在685个CVE构建的数据集上对PatchScout进行了评估。结果显示,在可接受的人工工作量下,PatchScout能帮助定位92.70%的漏洞的补丁。为了进一步证明PatchScout的实用性,我们利用PatchScout对5个流行的开源软件项目和225个CVEs进行了研究,分析了各分支上的补丁部署实践,并获得了许多新的有趣发现。
个人简介:
谈心,复旦大学计算机科学与技术学院博士研究生,师从教育部长江学者特聘教授,国家973项目首席科学家杨珉教授,研究方向为系统安全。博士在读期间,主要研究领域有缺陷检测,内核模糊测试,补丁分析等。以第一作者身份发表4篇CCF-A类论文,包括USENIX SECURITY,CCS等。同时担任复旦大学白泽战队队长。参与多项国内顶级CTF竞赛,带队获得过第十三届全国大学生信息安全竞赛创新实践能力赛(国赛)冠军,XCTF2021总决赛冠军,2019TCTF腾讯信息安全争霸赛-新星赛冠军等奖项。
戴嘉润 复旦大学软件学院
演讲主题:基于PoC移植的漏洞影响范围评估
内容摘要:
现有研究表明,公开漏洞报告中的版本影响范围通常存在漏报现象,使得漏报版本的下游用户无法及时感知到安全风险。有鉴于此,在本工作中,我们提出了“PoC移植”技术以验证漏洞的版本影响范围。该技术基于参考版本的公开PoC,在不同的待测版本上,通过模糊测试技术尝试生成能够触发同一目标漏洞的PoC,以此验证漏洞的存在性与可触发性。具体而言,该方案首先收集参考版本的漏洞触发路径,并用该路径指导待测版本的PoC调整。在实验部分,我们针对30个CVE的漏洞报告,对470个目标版本进行了漏洞影响评估,最终成功发现了330个漏报版本,目前CVE官方已悉数确认并修正了相关的漏洞报告。
个人简介:
戴嘉润,复旦大学2020级网络空间安全方向博士,师从杨珉教授与张源副教授。主要的研究方向为二进制安全与无人驾驶系统安全,目前以第一作者在CCS和Usenix Security发表相关论文两篇。在CTF竞赛方面,作为复旦大学白泽战队主力之一,曾获多项赛事荣誉,如XNUCA 2019/2020决赛冠军,CISCN 2020决赛冠军,XCTF 2021总决赛冠军等。
谷雅聪 清华大学(网络研究院)-奇安信联合研究中心
演讲主题:软件供应链安全:不只是软件成分分析
内容摘要:
2021年,针对软件供应链的攻击事件迅猛增长650%。为应对日益严峻的软件供应链安全威胁,国内外政府相继出台政策规范,学术界、工业界也纷纷开展软件供应链安全技术的研究与应用。目前,相关研究大多着眼于软件组成成分分析、开源软件源恶意代码检测、组件漏洞关联等方面,缺乏对于软件组件发布过程、软件源镜像等软件供应链重点环节的安全脆弱点识别与分析。为了应对上述挑战,我们对全网软件空间进行了大规模测绘,持续对软件供应链进行全周期、全链条的分析与研究,在npm、Maven、PyPI等主流软件生态上发现了一系列新的安全问题,并对软件供应链安全治理进行展望。
个人简介:
谷雅聪,博士,清华大学(网络研究院)-奇安信联合研究中心研究员。毕业于中国科学院软件研究所,主要从事恶意代码分析、软件供应链安全、智能终端安全相关技术研究与产品研发工作,在DSN、SecureComm、ICCCN等国际会议和TDSC、IEEE Internet Computing等学术期刊上发表论文数篇,参与多项国家自然科学基金、国家发改委信息安全专项等各类国家级科研项目。
潘高宁 浙江大学&蚂蚁集团
演讲主题:V-SHUTTLE :规模化和语义感知的虚拟机模拟设备模糊测试
内容摘要:
虚拟设备是一个可以用来对虚拟机管理器中的软件漏洞加以利用的攻击面。然而,现有的虚拟机管理器模糊测试工具存在效率低下(例如 VDF),以及无法规模化或自动扩展(例如 NYX)的问题。为了应对现有虚拟机管理器模糊测试技术的局限性,本文提出了可规模化和语义感知的框架 V-SHUTTLE,支持对虚拟机管理器中的虚拟设备进行模糊测试。V-SHUTTLE 具有可移植性,能够利用覆盖率引导的模糊测试技术,对不同虚拟机管理器中的设备进行模糊测试。此外,V-SHUTTLE 可以针对多种设备有效执行广泛的模糊测试。为了验证 V-SHUTTLE 的性能,研究者将其应用于两个最常用的虚拟机管理器平台——QEMU 和 VirtualBox。通过广泛评估,V-SHUTTLE 的有效性和高效性得到了证实。它发现了 QEMU 中的 26 个新内存缺陷和 VirtualBox 中的 9 个新缺陷,其中 17 个缺陷获得了官方 CVE。此外,通过与全球领先的互联网公司合作,研究者也在其商业平台上部署了 V-SHUTTLE。结果再次证明了 V-SHUTTLE 的优越性。论文获得了2021年CCS的最佳论文奖。
个人简介:
潘高宁,浙江大学博士研究生,主要研究方向是虚拟化安全、Fuzzing。浙江大学AAA战队成员。相关研究成果已经发表在学术界顶级安全会议CCS,以及工业界顶级安全会议BlackHat Asia,CanSecWest上。多次获得来自Redhat以及Oracle等厂商的致谢。
付丽嫆 浙江大学计算机科学与技术学院
演讲主题:CPscan:代码删除引入的物联网内核漏洞检测
内容摘要:
为了降低研发时间和成本,物联网厂商倾向于通过定制 Linux 内核来构建IoT 内核。在代码定制化的过程中,代码修剪十分普遍。然而IoT 内核缺乏长期有效地维护,此外,由于Linux内核固有的复杂性,物联网厂商可能会在修剪过程中错误地删除必要的安全操作。相关安全操作的删除会导致多种内核错误。为了检测由 IoT 内核代码修剪引起的错误,研究结构感知的图匹配算法和与安全操作关联的关键变量的使用链收集技术,以精确定位被删除的安全操作并推断其安全影响,设计实现IoT内核漏洞检测系统CPscan。CPscan主要包含以下几个模块:1)内核预处理模块;2)安全操作定位模块;3) 安全影响推断模块。在内核预处理模块,给定内核源代码,内核预处理模块旨在生成函数属性控制流图以用于结构感知的图匹配过程。为了全面地表征内核函数,CPscan 使用了两种类型的基本块属性:a)统计属性,描述了一个基本块的块内属性,以及b)用于描述基本块位置的结构属性。在安全操作定位模块中,给定程序属性控制流图,CPscan对Linux内核函数和IoT内核函数的基本块进行匹配以定位基本块中被删除的安全操作。具体匹配过程可分为基本块一对一的匹配和基本块一对多的匹配。完成程序属性控制流图的匹配后,通过基本块指令序列的比较,CPscan能够准确快速地报告在IoT内核中被删除的安全操作。在安全影响推断模块,CPscan通过比较物联网固件内核和Linux内核中与已删除安全操作相关的安全变量的使用形式(安全变量在可能受影响的代码段中的使用位置和使用方式)来对已删除安全操作的安全影响进行分析。因为在安全操作影响的代码段中,假设由安全操作保护、释放或初始化的安全变量的使用方式和使用位置与对应版本的Linux内核相同。在这种情况下,可以认为物联网固件内核中已删除的安全操作仍然有必要存在,对这个安全操作进行删除可能会对物联网固件内核安全产生影响。通过上述技术,可以自动推断安全操作的删除是否带来安全风险。使用CPscan对 10 个物联网供应商的 28 个物联网内核进行了分析。实验结果表明,CPscan 能够以较低的误报率识别 114 个新内核bug。
个人简介:
付丽嫆,现为浙江大学计算机科学与技术学院在读博士研究生。主要研究方向为系统和软件安全,特别是物联网安全、AI-Driven程序分析、开源软件供应链安全分析和二进制漏洞检测。博士期间已有多篇论文发表于CCF A类/CCF B类国际网络安全领域和软件工程领域重要会议和期刊。
李卓华 香港中文大学计算机科学与工程学系
演讲主题:MirChecker:针对 Rust 的静态分析与漏洞检测工具
内容摘要:
Rust 以其优越的安全特性,被越来越广泛地应用到对安全需求较高的场景。在具备操作底层硬件的能力的同时,Rust 强大的类型系统、生命周期和所有权模型保证了代码的安全。然而 Rust 所提供的安全保证仍有其局限性,现有的研究也已经揭示,运行时崩溃(Runtime crashes)和内存安全错误(Memory-safety errors)仍旧困扰着 Rust 开发者。我们开发的静态分析工具 MirChecker 可以自动地分析 Rust 编译器产生的中级中间表示(MIR),并收集关于程序的数值与符号信息,然后通过约束求解技术生成诊断信息,对可能出错的代码输出警告信息。我们检测了 Rust 官方包管理网站上下载量前 1000 的代码库,找出了 12 个库中 33 个漏洞,其中包括了 16 个内存安全错误。
个人简介:
李卓华,香港中文大学计算机科学与工程学系博士生。主要研究方向为系统安全,程序分析和随机模型等。
参会须知
会议报名成功之后将以短信形式发送腾讯会议号及密码,请遵照报名的要求扫描下方二维码进行填报。