活动预告 | CCF开源发展委员会开源供应链安全技术研讨会(2025第一期)——“大模型时代的开源供应链安全风控技术”...

aa6ab00c8ec184512f37e7b14aebeea6.png

点击蓝字

关注我们

   CCF Opensource Development Committee

CCF开源发展委员会开源供应链安全工作组(以下简称CCF-ODC-OSS)将于1月17日下午在北京黄大年茶思屋举行2025年第一期开源供应链安全技术研讨会,此次研讨会主题为“大模型时代的开源供应链安全风控技术”。

2024年是大模型持续蓬勃发展的一年。基于大语言模型能力,除了传统的ChatGpt等对话应用以外,还涌现出诸如Midjourney文生图、Sora文生视频等多媒体应用,以及Github Copilot 、Cursor等高度智能化的软件开发应用,并正式开启了软件工程3.0时代。与此同时,如何保障大模型及应用的供应链安全,如何利用大模型进一步发展供应链安全技术,成为了迫切需要回答的问题。因此,本次研讨会CCF-ODC-OSS工作组以“大模型时代的供应链安全风控技术”为主题,邀请国内供应链安全和大模型安全相关领域的顶尖专家进行技术分享,促进供应链安全社区与大模型领域的技术交流。本次研讨活动将以线上线下相结合的方式举行,具体活动议程如下:

研讨会议程详情

出品人:梁广泰,华为云软件分析Lab负责人,代码智能分析技术专家, CCF软工专委常委,CCF开源发展委员会供应链安全工作组秘书长;谈心,华为云供应链安全技术专家,CCF开源发展委员会供应链安全工作组秘书

主持人:梁广泰

798ee133ce422608201d39e38fe19d5b.png

参会方式

时间:2025年1月17日(周五)下午 14:00-17:00

参与方式:

线下会议地点:北京黄大年茶思屋(北京市海淀区清华科技园启迪科技大厦B座11楼)

线下参会请提前填写问卷:

https://www.wenjuan.com/s/UZBZJvcxGF/

线上参会方式:届时通过在线会议链接参会,会议链接在会议开始前会在CCF-ODC-OSS工作群中进行分享。请添加CCF-ODC-OSS工作组群聊管理员后申请入群

dd9f1f2ac96d794ee3ed94bf73be52dd.png

演讲者及内容介绍

主题报告:Rust语言开源生态可维护性研究

487a028a6596ff6f34946393569856f7.png

报告人简介:

张宇霞,博士,北京理工大学副教授。长期从事开源软件开发、智能软件工程方面的研究,在ICSE、FSE、TSE、TOSEM等顶级会议和期刊上发表论文20余篇,主持国家自然科学基金青年项目,主持国防科技重点实验室面上项目,参与国家自然科学基金重点项目。受邀担任国际顶级期刊TSE,TOSEM,EmSE的审稿人,担任国际FSE2023,ICSE2024程序委员会委员,担任ASE 2024 Review Process共同主席等。获得ICSE 2022杰出论文奖、ESEC/FSE 2023杰出论文奖、Internetware 2023杰出程序委员奖等。

摘要:

利用第三方开源库是现代软件开发的基石,被广泛用于提升生产力和软件质量。然而,开源库的核心开发者持续贡献是保障这些库安全可靠的重要因素,而开发者的流失则构成了开源项目可持续性的重大风险。现有研究多聚焦于单个项目层面的开发者流失问题,往往忽视了上游开发者流失对下游项目的深远影响。此外,当核心开发者离开后,相关库可能停止维护甚至被弃用,这将对依赖这些库的项目造成显著负面影响。及时识别并妥善应对被弃用的库,对于开发人员缓解项目潜在风险至关重要。本报告将详细介绍我们针对Rust库生态系统的研究成果,涵盖了核心开发者流失的普遍性及其影响,以及库被弃用的方式与背后的原因。这些发现可以为构建可靠软件依赖以及可持续供应链生态提供实践洞察。

主题报告:基于大语言模型的跨语言安全漏洞自动化修复技术研究

c0b9e47d618d1e5552727b395eceeb84.png

报告人简介:

王栋,博士,天津大学副研究员,研究方向包括智能化软件,开源软件及软件安全。研究目标主要是从软件仓库的历史数据中提取知识,揭示实证证据,获取对软件工程管理有用的洞察,并开发支持开发人员的自动化方法。近5年来他在国际会议和期刊共发表 20 余篇论文,涵盖 ICSE、ISSTA、ASE、TSE、TOSEM、EMSE 等顶级软工会议与期刊,获得ISSTA24杰出论文奖。此外,在软件工程领域的旗舰会议和期刊中广泛担任审稿人和组织者,获得MSR23最佳审稿人奖。

摘要:

根据通用漏洞与披露(CVE)的数据,2023 年报告的软件漏洞数量达到了创纪录的 28,961 个,比 2022 年大幅增长了 15.57%。然而,修复软件漏洞往往需要专业技术,并且人工解决这些漏洞是一个耗时耗力的过程,因此,对自动化漏洞修复方法的需求十分迫切。基于深度学习的方法以及预训练语言模型的研究已经被提出,然而,这些方法通常局限于特定的编程语言(如C/C++)。随着大语言模型(LLMs)的最新进展,这些模型展现出语言无关的能力和强大的语义理解能力,有望克服多语言漏洞修复的局限性。尽管已有一些研究开始探索LLM在漏洞修复方面的性能,但其效果仍不尽如人意。为了解决这些局限性,我们开展了一项大规模的实证研究,全面调查现有自动漏洞修复方法和最先进的LLMs在七种编程语言上的表现。关键研究结果表明,当通过指令调优和少样本提示方法进行优化时,GPT-4o的性能最好,与当前领先的方法VulMaster相媲美。此外,基于LLM的方法在修复独特漏洞方面表现出更高的性能,并更有可能修复最危险的漏洞。跨编程语言的分析显示,Go语言在所有模型类型中始终表现出最高的修复效果,而整体来看,C/C++的表现最差。基于研究发现,我们进一步讨论了LLM在多语言漏洞修复中的潜力以及导致LLM失败的原因。这项工作首次系统性地比较了多种修复方法和LLM在跨多语言漏洞修复中的表现,突出了将LLM应用于实际多语言漏洞修复的可能性。

主题报告:人工智能模型评测与治理

ea881ee71ed881e3f646b1b515b415f6.png

报告人简介:

洪赓,博士,复旦大学计算机学院助理研究院。洪赓博士的研究聚焦于人工智能安全治理、互联网地下产业检测等,目前已在IEEE S&P、ACM CCS、NDSS等国际顶级会议上发表十余篇高水平学术论文,担任ACM CCS 24、CCS 25程序委员会委员,并主持国家自然科学基金青年项目等重要研究课题。曾获ACM SIGSAC China优博奖(全国共3位)、ACM CCS 2018亮点论文等荣誉。

摘要:

当前,以ChatGPT为代表的生成式人工智能技术正引领着人工智能及其相关垂直领域的深刻变革。本报告重点围绕大模型测评体系的构建与优化展开深入探讨,分析人工智能测评的关键技术路径,并结合实际案例分享大模型评测与治理的最新研究成果与实践思考。同时,报告还将探讨如何建立科学、全面的人工智能测评标准体系,以推动生成式AI技术的安全可控发展。

主题报告:大模型训练语料的安全保障技术探索

adc410ad195969ea55447994a69fbbc2.png

报告人简介:

谈心,博士,华为云PaaS技术创新Lab供应链安全技术专家,担任CCF开源发展委员会供应链安全工作组秘书。主要研究方向为系统安全与供应链安全,发现0-day漏洞百余个,目前已在USENIX Security、CCS、S&P、WWW等国际顶级会议上发表十余篇高水平学术论文。目前专注于 AI for security与 security for AI两个方向的创新技术在华为云内部落地。获2024年度ACM SIGSAC中国“优博奖”(全国共3位)等荣誉。

摘要:

训练语料是大模型能力的重要基石。然而当前大模型的训练语料规模庞大,来源复杂,安全性难以保障。本报告将围绕大模型训练语料的安全保障措施展开探讨,介绍业界语料安全相关的保障实践,引导大家探讨25年相关的技术布局和演进方向,推动生成式AI语料安全的构建。

CCF ODC

CCF开源发展委员会(CCF ODC)秉承创新、开放、协作、共享的理念和价值观,聚焦打造自身开源的新型开源创新服务平台,培育孵化原始创新的开源项目,培养开源创新实践人才。依托CCF链接科教资源、产业资源和社会资源等,形成产、学、研、用联动的开源创新模式,探索由学术共同体主导的开源发展新路径,为中国计算机学会会员乃至全球开源创新实践者提供高水平服务,助力开源生态建设。

c3fb363ddbcd9e9e0c4a68618505c81d.png

更多资讯请见CCF开源发展委员会专区 

https://www.gitlink.org.cn/zone/CCF-ODC

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/67322.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

XML序列化和反序列化的学习

1、基本介绍 在工作中,经常为了调通上游接口,从而对请求第三方的参数进行XML序列化,这里常使用的方式就是使用JAVA扩展包中的相关注解和类来实现xml的序列化和反序列化。 2、自定义工具类 import javax.xml.bind.JAXBContext; import javax.x…

(三)html2canvas将HTML 转为图片并实现下载

将 HTML 转为图片并实现下载,通常可以使用一个叫做 html2canvas 的 JavaScript 库。html2canvas 能够将 HTML 元素及其样式渲染成一个画布 (Canvas),然后将该画布转换为图片格式(如 PNG 或 JPEG),最终提供下载功能。 …

Docker新手使用教程

一、Docker 的基本概念 镜像 (Image): 镜像是一个只读的模板,用于创建 Docker 容器。镜像包含了运行应用程序所需的所有内容:代码、运行时环境、库、配置文件等。可以将镜像看作是应用程序的 “代码”。你可以从 Docker Hub 或其他镜像仓库下载现成的镜…

maven常见知识点

1、maven是什么? maven是Java的包管理工具,因为java包太多了,使用工具统一管理。 2、引入同一个包时使用哪个? 会遵循 路径最短优先 和 声明顺序优先 两大原则。解决这个问题的过程也被称为 Maven 依赖调解。 3、什么是 POM&…

Windows 上的 MySQL 8.4.3 和 WSL(Ubuntu)的 MySQL 8.0.40 之间配置 主从同步

在 Windows 上的 MySQL 8.4.3 和 WSL(Ubuntu)的 MySQL 8.0.40 之间配置 主从同步(Master-Slave Replication) 的过程略有不同,因为两者的 MySQL 版本和环境存在差异。以下是详细步骤,帮助你完成跨平台的主从…

基于php求职招聘系统设计

基于php求职招聘系统设计 摘要 随着社会信息化时代的到来,如今人们社会的生活节奏普遍加快,人们对于工作效率的要求也越来越高,企业 举办招聘会耗时耗财,个人参加招聘会漫无目的寻找不到“方向”,网络搜索工作量目的…

python-应用自动化操作方法集合

python-PC应用自动化操作 pywinauto:适合Windows系统的软件(GUI),通过遍历窗口(对话框)和窗口里的UI控件进行定位操作,也可以控制鼠标和键盘输入等 https://geekdaxue.co/read/pywinauto-doc-zh…

SDK调用文心一言如何接入,文心一言API接入教程

一、前期准备 注册百度智能云账号: 前往百度智能云官网注册一个账号。这是接入文心一言API的基础。 了解API接口: 在百度智能云开放平台中,找到文心一言API的详情页,了解提供的API接口类型(如云端API、移动端API、离线…

49_Lua调试

Lua提供了debug库用于创建自定义调试器,尽管Lua本身没有内置的调试器1。这个库允许开发者在程序运行时检查和控制执行流程,这对于开发过程中的错误查找和修复非常有用。 1.Debug库概述 debug库提供的函数可以分为两类:自省函数(introspection functions)和钩子函数(hoo…

Qt——QTableWidget 限制单元格输入范围的方法(正则表达式输入校验法、自定义代理类MyItemDelegrate)

【系列专栏】:博主结合工作实践输出的,解决实际问题的专栏,朋友们看过来! 《项目案例分享》 《极客DIY开源分享》 《嵌入式通用开发实战》 《C++语言开发基础总结》 《从0到1学习嵌入式Linux开发》

【机器学习】数据拟合-最小二乘法(Least Squares Method)

最小二乘法(Least Squares Method) 最小二乘法是一种广泛使用的数据拟合方法,用于在统计学和数学中找到最佳拟合曲线或模型,使得观测数据点与模型预测值之间的误差平方和最小化。以下是详细介绍: 基本概念 假设有一组…

ASP.NET Core 多环境配置

一、开篇明义:多环境配置的重要性 在ASP.NET Core 开发的广袤天地中,多环境配置堪称保障应用稳定运行的中流砥柱。想象一下,我们精心打造的应用,要在开发、测试、预发布和生产等截然不同的环境中穿梭自如。每个环境都如同一个独特…

Flutter 多终端测试 自定义启动画面​​​​​​​ 更换小图标和应用名称

多终端测试 flutter devices flutter run -d emulator-5554 flutter run -d emulator-5556 自定义启动画面 之前: 进入assert 3x 生成 1x 2x dart run flutter_native_splash:create dart run flutter_native_splash:remove 现在(flutter_nativ…

springMVC实现文件上传

目录 一、创建项目 二、引入依赖 三、web.xml 四、编写上传文件的jsp页面 五、spring-mvc.xml 六、controller 七、运行 一、创建项目 二、引入依赖 <?xml version"1.0" encoding"UTF-8"?> <project xmlns"http://maven.apache.o…

Java内存与缓存

Java内存管理和缓存机制是构建高性能应用程序的关键要素。它们之间既有联系又有区别&#xff0c;理解这两者对于优化Java应用至关重要。 Java 内存模型 Java内存模型&#xff08;JMM&#xff09;定义了线程如何以及何时可以看到其他线程修改过的共享变量的值&#xff0c;并且规…

图片和短信验证码(头条项目-06)

1 图形验证码接口设计 将后端⽣成的图⽚验证码存储在redis数据库2号库。 结构&#xff1a; {img_uuid:0594} 1.1 创建验证码⼦应⽤ $ cd apps $ python ../../manage.py startapp verifications # 注册新应⽤ INSTALLED_APPS [django.contrib.admin,django.contrib.auth,…

云服务信息安全管理体系认证,守护云端安全

在数据驱动的时代&#xff0c;云计算已成为企业业务的超级引擎&#xff0c;推动着企业飞速发展。然而&#xff0c;随着云计算的广泛应用&#xff0c;信息安全问题也日益凸显&#xff0c;如同暗流涌动下的礁石&#xff0c;时刻威胁着企业的航行安全。这时&#xff0c;云服务信息…

微服务中引入消息队列的利弊

微服务中引入消息队列的利弊 1、微服务架构中引入消息队列(Message Queue)的主要优势&#xff1a; 1.1 解耦(Decoupling) 服务之间不需要直接调用&#xff0c;通过消息队列实现松耦合 生产者和消费者可以独立扩展和维护 降低系统间的依赖性 1.2 异步处理(Asynchronous Proc…

npm、yarn、pnpm包安装器差异性对比

特性npmyarnpnpm发布年份2010 年发布2016 年发布2017 年发布安装速度较慢&#xff08;旧版本&#xff09;&#xff0c;但自 npm 5 后有所改善较快&#xff0c;尤其是在缓存方面极快&#xff0c;使用硬链接和全局缓存来提高速度包管理模式扁平化依赖&#xff0c;可能会发生重复依…

LabVIEW与WPS文件格式的兼容性

LabVIEW 本身并不原生支持将文件直接保存为 WPS 格式&#xff08;如 WPS 文档或表格&#xff09;。然而&#xff0c;可以通过几种间接的方式实现这一目标&#xff0c;确保您能将 LabVIEW 中的数据或报告转换为 WPS 可兼容的格式。以下是几种常见的解决方案&#xff1a; ​ 导出…