活动预告 | CCF开源发展委员会开源供应链安全技术研讨会（2025第一期）—

点击蓝字

关注我们

CCF Opensource Development Committee

CCF开源发展委员会开源供应链安全工作组（以下简称CCF-ODC-OSS）将于1月17日下午在北京黄大年茶思屋举行2025年第一期开源供应链安全技术研讨会，此次研讨会主题为“大模型时代的开源供应链安全风控技术”。

2024年是大模型持续蓬勃发展的一年。基于大语言模型能力，除了传统的ChatGpt等对话应用以外，还涌现出诸如Midjourney文生图、Sora文生视频等多媒体应用，以及Github Copilot 、Cursor等高度智能化的软件开发应用，并正式开启了软件工程3.0时代。与此同时，如何保障大模型及应用的供应链安全，如何利用大模型进一步发展供应链安全技术，成为了迫切需要回答的问题。因此，本次研讨会CCF-ODC-OSS工作组以“大模型时代的供应链安全风控技术”为主题，邀请国内供应链安全和大模型安全相关领域的顶尖专家进行技术分享，促进供应链安全社区与大模型领域的技术交流。本次研讨活动将以线上线下相结合的方式举行，具体活动议程如下：

研讨会议程详情

出品人：梁广泰，华为云软件分析Lab负责人，代码智能分析技术专家， CCF软工专委常委，CCF开源发展委员会供应链安全工作组秘书长；谈心，华为云供应链安全技术专家，CCF开源发展委员会供应链安全工作组秘书

主持人：梁广泰

参会方式

时间：2025年1月17日（周五）下午 14:00-17:00

参与方式：

线下会议地点：北京黄大年茶思屋（北京市海淀区清华科技园启迪科技大厦B座11楼）

线下参会请提前填写问卷：

https://www.wenjuan.com/s/UZBZJvcxGF/

线上参会方式：届时通过在线会议链接参会，会议链接在会议开始前会在CCF-ODC-OSS工作群中进行分享。请添加CCF-ODC-OSS工作组群聊管理员后申请入群

演讲者及内容介绍

主题报告：Rust语言开源生态可维护性研究

报告人简介：

张宇霞，博士，北京理工大学副教授。长期从事开源软件开发、智能软件工程方面的研究，在ICSE、FSE、TSE、TOSEM等顶级会议和期刊上发表论文20余篇，主持国家自然科学基金青年项目，主持国防科技重点实验室面上项目，参与国家自然科学基金重点项目。受邀担任国际顶级期刊TSE，TOSEM，EmSE的审稿人，担任国际FSE2023，ICSE2024程序委员会委员，担任ASE 2024 Review Process共同主席等。获得ICSE 2022杰出论文奖、ESEC/FSE 2023杰出论文奖、Internetware 2023杰出程序委员奖等。

摘要：

利用第三方开源库是现代软件开发的基石，被广泛用于提升生产力和软件质量。然而，开源库的核心开发者持续贡献是保障这些库安全可靠的重要因素，而开发者的流失则构成了开源项目可持续性的重大风险。现有研究多聚焦于单个项目层面的开发者流失问题，往往忽视了上游开发者流失对下游项目的深远影响。此外，当核心开发者离开后，相关库可能停止维护甚至被弃用，这将对依赖这些库的项目造成显著负面影响。及时识别并妥善应对被弃用的库，对于开发人员缓解项目潜在风险至关重要。本报告将详细介绍我们针对Rust库生态系统的研究成果，涵盖了核心开发者流失的普遍性及其影响，以及库被弃用的方式与背后的原因。这些发现可以为构建可靠软件依赖以及可持续供应链生态提供实践洞察。

主题报告：基于大语言模型的跨语言安全漏洞自动化修复技术研究

报告人简介：

王栋，博士，天津大学副研究员，研究方向包括智能化软件，开源软件及软件安全。研究目标主要是从软件仓库的历史数据中提取知识，揭示实证证据，获取对软件工程管理有用的洞察，并开发支持开发人员的自动化方法。近5年来他在国际会议和期刊共发表 20 余篇论文，涵盖 ICSE、ISSTA、ASE、TSE、TOSEM、EMSE 等顶级软工会议与期刊，获得ISSTA24杰出论文奖。此外，在软件工程领域的旗舰会议和期刊中广泛担任审稿人和组织者，获得MSR23最佳审稿人奖。

摘要：

根据通用漏洞与披露（CVE）的数据，2023 年报告的软件漏洞数量达到了创纪录的 28,961 个，比 2022 年大幅增长了 15.57%。然而，修复软件漏洞往往需要专业技术，并且人工解决这些漏洞是一个耗时耗力的过程，因此，对自动化漏洞修复方法的需求十分迫切。基于深度学习的方法以及预训练语言模型的研究已经被提出，然而，这些方法通常局限于特定的编程语言（如C/C++）。随着大语言模型（LLMs）的最新进展，这些模型展现出语言无关的能力和强大的语义理解能力，有望克服多语言漏洞修复的局限性。尽管已有一些研究开始探索LLM在漏洞修复方面的性能，但其效果仍不尽如人意。为了解决这些局限性，我们开展了一项大规模的实证研究，全面调查现有自动漏洞修复方法和最先进的LLMs在七种编程语言上的表现。关键研究结果表明，当通过指令调优和少样本提示方法进行优化时，GPT-4o的性能最好，与当前领先的方法VulMaster相媲美。此外，基于LLM的方法在修复独特漏洞方面表现出更高的性能，并更有可能修复最危险的漏洞。跨编程语言的分析显示，Go语言在所有模型类型中始终表现出最高的修复效果，而整体来看，C/C++的表现最差。基于研究发现，我们进一步讨论了LLM在多语言漏洞修复中的潜力以及导致LLM失败的原因。这项工作首次系统性地比较了多种修复方法和LLM在跨多语言漏洞修复中的表现，突出了将LLM应用于实际多语言漏洞修复的可能性。

主题报告：人工智能模型评测与治理

报告人简介：

洪赓，博士，复旦大学计算机学院助理研究院。洪赓博士的研究聚焦于人工智能安全治理、互联网地下产业检测等，目前已在IEEE S&P、ACM CCS、NDSS等国际顶级会议上发表十余篇高水平学术论文，担任ACM CCS 24、CCS 25程序委员会委员，并主持国家自然科学基金青年项目等重要研究课题。曾获ACM SIGSAC China优博奖（全国共3位）、ACM CCS 2018亮点论文等荣誉。

摘要：

当前，以ChatGPT为代表的生成式人工智能技术正引领着人工智能及其相关垂直领域的深刻变革。本报告重点围绕大模型测评体系的构建与优化展开深入探讨，分析人工智能测评的关键技术路径，并结合实际案例分享大模型评测与治理的最新研究成果与实践思考。同时，报告还将探讨如何建立科学、全面的人工智能测评标准体系，以推动生成式AI技术的安全可控发展。

主题报告：大模型训练语料的安全保障技术探索

报告人简介：

谈心，博士，华为云PaaS技术创新Lab供应链安全技术专家，担任CCF开源发展委员会供应链安全工作组秘书。主要研究方向为系统安全与供应链安全，发现0-day漏洞百余个，目前已在USENIX Security、CCS、S&P、WWW等国际顶级会议上发表十余篇高水平学术论文。目前专注于 AI for security与 security for AI两个方向的创新技术在华为云内部落地。获2024年度ACM SIGSAC中国“优博奖”（全国共3位）等荣誉。

摘要：

训练语料是大模型能力的重要基石。然而当前大模型的训练语料规模庞大，来源复杂，安全性难以保障。本报告将围绕大模型训练语料的安全保障措施展开探讨，介绍业界语料安全相关的保障实践，引导大家探讨25年相关的技术布局和演进方向，推动生成式AI语料安全的构建。

CCF ODC

CCF开源发展委员会(CCF ODC)秉承创新、开放、协作、共享的理念和价值观，聚焦打造自身开源的新型开源创新服务平台，培育孵化原始创新的开源项目，培养开源创新实践人才。依托CCF链接科教资源、产业资源和社会资源等，形成产、学、研、用联动的开源创新模式，探索由学术共同体主导的开源发展新路径，为中国计算机学会会员乃至全球开源创新实践者提供高水平服务，助力开源生态建设。