VPSS:面向软件供应链的漏洞影响评估
💡
原文中文,约4900字,阅读约需12分钟。
📝
内容提要
第四十届软件工程国际会议ASE 2025将在首尔举行,246篇论文被录用,其中中国作者占比超过60%。论文研究软件供应链漏洞影响评估,提出了基于工作列表的传播分析算法和漏洞传播评分系统(VPSS),有效评估Java Maven生态系统中的漏洞,帮助量化其影响。
🎯
关键要点
- 第四十届软件工程国际会议ASE 2025将在首尔举行,246篇论文被录用,中国作者占比超过60%。
- 会议主题包括AI和SE、测试和分析、安全及其他非功能特性。
- 论文研究软件供应链漏洞影响评估,提出基于工作列表的传播分析算法和漏洞传播评分系统(VPSS)。
- 现有研究无法准确评估漏洞在软件供应链中的影响,存在假阳性和局部分析的局限性。
- 论文提出的算法能够在函数调用图层级实现漏洞传播分析,支持全生态系统的评估。
- VPSS是第一个专门用于量化软件供应链中漏洞影响的动态评估指标,采用0-10分制。
- 研究方法包括依赖图构建、脆弱函数识别、漏洞传播分析和VPSS计算四个步骤。
- 在Java Maven生态系统上实现了工具原型,并使用100个漏洞进行了测试,评估结果显示算法有效。
- VPSS分数能够动态反映漏洞传播影响的演变,捕获异常的延迟更新现象。
- 作者团队欢迎交流合作,推动软件供应链漏洞治理工作。
➡️
