(本文全文2000字,阅读需10min)
目前,针对开源组件的供应链安全威胁数量激增,这些事件所带来的后果也愈发严重。面对此类问题,在2024年第十七届全国大学生信息安全竞赛作品赛中,华中科技大学李珍老师带领的“冲刺”队向软件供应链安全发起了挑战。参赛现场
“冲刺”团队的作品“软件供应链漏洞检测系统——链安卫士”不仅在第十七届全国大学生信息安全竞赛中荣获一等奖,更因其卓越的市场潜力和技术创新,获得了2024年中国网络安全创新创业大赛“最具投资价值奖”。这款作品有何突破?依赖溯源与漏洞检测准确度高
据Sonatype发布的《2022 年软件供应链 状况报告》统计,2022年针对开源存储库的已知攻击同比增长了633%。华中科技大学副教授李珍指出,现有的应用软件不到20%的代码是由开发者独立撰写的,大概有超过80%的代码参考或引用了供应链上游的代码,因此代码安全性是得不到保障的。鉴于此,对于使用的开源组件有一个清晰的认识,包括了解它们之间的依赖关系、潜在的漏洞以及风险点,已变得极其重要。颁奖现场
因此,华科“冲刺”团队将参赛作品定位为:软件供应链安全的漏洞检测系统。系统主要针对软件隐性依赖溯源难、相似漏洞识别杂、未知漏洞挖掘浅三个问题开展设计,包含软件依赖漏洞检测、相似漏洞检测、未知漏洞检测3个模块。系统针对国内重要的开源社区或者企业内部开发软件来进行漏洞检测,最终目标是发现并警示过时或不安全的依赖项,增强安全性。李珍指出,作品最终得到了一些行业专家的好评,在BCB和GCJ数据集上,系统显示出高效率和准确性,成功识别并申报了84个中高危漏洞,包括51个N-day漏洞和33个CNVD漏洞,漏洞已获得编号或得到项目开发者的确认与修复,验证了其在软件供应链安全检测方面的有效性。顶会文章落地转化,团队力量大
这是李珍老师第二次指导作品赛获奖,她认为,相较于CTF比赛,作品赛因可以自主命题参赛范围更广泛,同学们可以根据自己的兴趣来参赛,比赛能够帮助本科生锻炼成果转化方面的能力。华科此次参赛也融合了团队在网络安全顶级会议上发表的学术研究成果,在面对工程化的技术挑战时,团队共同研究技术策略。在作品实现过程中,团队希望把系统功能尽量做得全面,这就要求系统必须既能检测已知漏洞,又能检测未知漏洞。面对不同的漏洞,需要依据不同技术手段。例如,在已知漏洞检测领域识别隐式依赖是难点,团队提出软件指纹生成技术来提高检测的精确性和效率。据李珍提供,在克隆漏洞检测方面,相较于韩国团队的Movery 58.8%的准确率和49.4%的召回率,参赛作品准确率和召回率均达到75%以上,这得益于团队提出的“分层过滤”方法,兼顾准确性与检测效率,相关成果已发表在2024年USENIX Security。发表在USENIX Security 2024 的论文
同时,团队还特别重视技术融合的重要性。不论是针对已知漏洞还是未知漏洞,参赛作品均提供了扩展接口,使用者随时可将更优的技术进行融合,这也是他们作品的亮点之一。期待检测误报率出现量级上的进步
代码漏洞检测领域在近几十年来一直在发展,国内外均出现了一些开源、商业化的检测工具。华科团队测试过市面上的主流系统,认为在静态检测领域还有很大的提升空间。李珍指出,静态检测领域目前比较大的问题在于误报率、漏报率都比较高,尤其是误报,需要耗费大量人工去审核,增加人力成本。这类问题并非只出现在国内自主研发的产品中,国外老牌产品也存在,目前静态分析产品的误报率一般在30%以上。因此,李珍团队一直在这方面开展研究,希望能有本质的改进。如何才算本质的改进?李珍认为,要在量级上出现质的飞跃。例如,目前大多系统的状态是一次检测出1000个漏洞,人工复核后仅有个位数是真实的,其他均为误报。华科团队的目标是:进入同一个量级,大大降低误报率。但是,目前参赛作品仅是对指标进行了优化。据李珍提供,优化后的效果是:在未知漏洞检测方面,相较于以色列静态检测产品的Checkmarx 35%的误报率和50.8%的漏报率,参赛作品优化提升至10%的误报率和25%的漏报率。那么,未来如何实现这些目标?团队正在探索通过AI技术来实现。虽然本次参赛的系统也应用了部分Deep Learning的技术,但是李珍认为并没有发挥显著效果。下一步计划把大模型引入到代码漏洞检测领域,除了实现检测漏洞,还要实现漏洞修复。检测出漏洞后,并不意味着达到安全的终点,真正的安全是要实现修复漏洞,在修复环境考虑应用大模型是华科团队目前的计划。但确实存在一些待攻克的难题,比如现在的大模型多是通用大模型,而非垂直领域大模型,所以在应用大模型之前还要建立漏洞模型数据集,建立数据集的过程中也是困难重重,但团队正在逐一解决,李珍认为,经过团队不断努力,一定可以达成最终目标。本文图片由受访者提供
《信息网络安全》创刊于2001年,是由公安部主管,公安部第三研究所、中国计算机学会主办,面向国内外公开发行的国内首批信息安全类期刊之一,于2015年成为中国科技核心期刊,2017年成为中国科学引文数据库来源期刊,2018年成为中文核心期刊,2022年入选CCF计算领域高质量科技期刊分级目录。
![]()
中文核心期刊
中国科技核心期刊
中国科学引文数据库来源期刊
CCF计算领域高质量科技期刊
