开源软件漏洞感知技术综述

作     者：詹奇 潘圣益 胡星 鲍凌峰 夏鑫 ZHAN Qi;PAN Sheng-Yi;HU Xing;BAO Ling-Feng;XIA Xin

作者机构：浙江大学计算机科学与技术学院浙江杭州310027 浙江大学软件学院浙江宁波315048 华为技术有限公司软件工程应用技术实验室浙江杭州310053 

出 版 物：《软件学报》 (Journal of Software)

年 卷 期：2024年第35卷第1期

页      面：19-37页

核心收录：

学科分类：08[工学] 0835[工学-软件工程] 081202[工学-计算机软件与理论] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家重点研发计划(2021YFB2701102) 国家自然科学基金(62141222,U20A20173) 中央高校基本科研专项资金(226-2022-00064) 

主　　题：开源软件 漏洞感知 软件安全 

摘      要：随着现代软件规模不断扩大,软件漏洞给计算机系统和软件的安全运行、可靠性造成了极大的威胁,进而给人们的生产生活造成巨大的损失.近年来,随着开源软件的广泛使用,其安全问题受到广泛关注.漏洞感知技术可以有效地帮助开源软件用户在漏洞纰漏之前提前感知到漏洞的存在,从而进行有效防御.与传统软件的漏洞检测不同,开源漏洞的透明性和协同性给开源软件的漏洞感知带来巨大的挑战.因此,有许多学者和从业人员提出多种技术,从代码和开源社区中感知开源软件中潜在的漏洞和风险,以尽早发现开源软件中的漏洞从而降低漏洞所带来的损失.为了促进开源软件漏洞感知技术的发展,对已有研究成果进行系统的梳理、总结和点评.选取45篇开源漏洞感知技术的高水平论文,将其分为3大类:基于代码的漏洞感知技术、基于开源社区讨论的漏洞感知技术和基于软件补丁的漏洞感知技术,并对其进行系统地梳理、归纳和总结.值得注意的是,根据近几年最新研究的总结,首次提出基于开源软件漏洞生命周期的感知技术分类,对已有的漏洞感知技术分类进行补充和完善.最后,探索该领域的挑战,并对未来研究的方向进行展望.