一种面向开源软件漏洞的补丁查找与解析方法

A METHOD FOR FINDING AND PARSING PATCHES FOR OPEN SOURCE SOFTWARE VULNERABILITIES

下载PDF

导出

摘要漏洞补丁为多种软件安全任务提供了重要知识,但在漏洞公告中常常缺失。提出一种面向开源软件漏洞的自动化补丁查找与解析方法PatFinder。该方法先从大量网页中识别漏洞相关的代码提交,再基于代码变更内容及加权投票的机制实现补丁筛选,最后,通过定制化的补丁解析方法,获取文件路径、函数名等补丁元数据信息。实验结果表明,该方法可达到73.10%的补丁覆盖率和0.802的补丁查全率,大幅提升了现有方法的补丁覆盖率和查全率。 Patches,as a valuable piece of information for security-related tasks,are often missing in security advisories.In this article,we propose an automated approach,named PatFinder,to find and parse patches for open source software(OSS)vulnerabilities.First,PatFinder identified commits from numerous vulnerability-related references.Then,PatFinder selected patches based on code changes of identified commits and a weighted voting mechanism.Finally,based on designed patch parsing methods,metadata of patches(i.e.,paths of modified files and names of functions)was obtained.Our experiment has shown that PatFinder can achieve a coverage of 73.10%and a recall of 0.802,significantly improving the coverage and recall of existing approaches.

作者许聪颖陈碧欢赵文耘 Xu Congying;Chen Bihuan;Zhao Wenyun(Software School,Fudan University,Shanghai 200438,China;Shanghai Key Laboratory of Data Science,Shanghai 200438,China)

机构地区复旦大学软件学院上海市数据科学重点实验室

出处《计算机应用与软件》北大核心 2025年第4期1-7,32,共8页 Computer Applications and Software

基金国家自然科学基金项目(61802067)。

关键词软件安全漏洞补丁 Software security Vulnerability Patch

分类号 TP3 [自动化与计算机技术—计算机科学与技术]

引文网络
相关文献

参考文献11

1何熙巽,张玉清,刘奇旭.软件供应链安全综述[J].信息安全学报,2020,5(1):57-73. 被引量：34
2刘剑,苏璞睿,杨珉,和亮,张源,朱雪阳,林惠民.软件与网络安全研究综述[J].软件学报,2018,29(1):42-68. 被引量：103
3李舟军,张俊贤,廖湘科,马金鑫.软件安全漏洞检测技术[J].计算机学报,2015,38(4):717-732. 被引量：80
4李韵,黄辰林,王中锋,袁露,王晓川.基于机器学习的软件漏洞挖掘方法综述[J].软件学报,2020,31(7):2040-2061. 被引量：54
5李珍,邹德清,王泽丽,金海.面向源代码的软件漏洞静态检测综述[J].网络与信息安全学报,2019,5(1):1-14. 被引量：25
6邹雅毅,李珍.开源软件漏洞补丁的采集与整理[J].河北省科学院学报,2016,33(3):18-22. 被引量：1
7文琪,江喆越,张源.基于关键路径测试的安全补丁存在性检测[J].计算机应用与软件,2020,37(3):1-7. 被引量：2
8周鹏,武延军,赵琛.一种Linux安全漏洞修复补丁自动识别方法[J].计算机研究与发展,2022,59(1):197-208. 被引量：11
9李瑞科,刘元,廖雷,吴晨思,张玉清.1999-2018年安全漏洞数据集[J].中国科学数据（中英文网络版）,2019,4(4):119-128. 被引量：1
10李赞,边攀,石文昌,梁彬.一种利用补丁的未知漏洞发现方法[J].软件学报,2018,29(5):1199-1212. 被引量：7

二级参考文献133

1陈火旺,王戟,董威.高可信软件工程技术[J].电子学报,2003,31(z1):1933-1938. 被引量：116
2吴世忠.信息安全漏洞分析回顾与展望[J].清华大学学报（自然科学版）,2009(S2):2065-2072. 被引量：22
3陈洪泉.恶意软件检测中的特征选择问题[J].电子科技大学学报,2009,38(S1):53-56. 被引量：9
4周艳菊,邱莞华,王宗润.供应链风险管理研究进展的综述与分析[J].系统工程,2006,24(3):1-7. 被引量：123
5..中国国家信息安全漏洞库[EB/OL]..http://www.cnnvd.org.cn/.,,..
6..国家信息安全漏洞共享平台[EB/OL]..htrp://www.cnvd.org.cn/.,,..
7赵云山,宫云战.基于符号分析的静态缺陷检测技术研究[博士学位论文].北京:北京邮电大学,2012.
8Tassey G. The economic impacts of inadequate infrastructure for software testing. Gaithershurg National. Institute of Standards and Technology, Planning Report 02-3, 2002.
9Sipser M. Introduction to the Theory of Computation. Boston, USA: Thomson Course Technology, 2006.
10Hoare C A R. An axiomatic approach to computer program- ming. Communications of the ACM, 1969, 12(10) : 576-580.

共引文献307

1李希阁.基于动态手势的集群软件部署平台的设计与实现[J].中国水运（下半月）,2021,21(3):18-19. 被引量：2
2程广振.基于大数据实训平台的安全漏洞扫描与修复研究[J].中国宽带,2023,19(7):107-109. 被引量：1
3张超群,韦川源,梁刚,黑小龙,朱旭东.基于深度学习技术的恶意攻击的分析与识别[J].计算机应用研究,2020,37(S01):283-286. 被引量：6
4张超,潘祖烈,樊靖.面向堆内存漏洞的double free攻击方法检测[J].计算机应用研究,2020,37(S01):275-278. 被引量：2
5李光杰,唐艺,易比一,张翔,何焱.开源软件供应链安全问题研究[J].智能安全,2023,2(1):82-89. 被引量：2
6段浩杰,张焱,王昺翔.探究安全技术应用于计算机软件开发的对策和进展[J].新一代信息技术,2022,5(5):104-106.
7扈宁,董丽莎,王民.基于文本挖掘技术应用的计算机漏洞自动分类[J].新一代信息技术,2022,5(5):74-76.
8王栋.基于安全技术应用的计算机软件开发[J].新一代信息技术,2022,5(2):69-71.
9徐俊,胡蓉,余镭.关于软件供应链安全的网络安全保险研究[J].网络空间安全,2022,13(4):62-69. 被引量：6
10袁穗波,李利.星座图法在防护林功能经营区划分中的应用[J].湖南林业科技,2000,27(1):10-15. 被引量：6

1唐孝舟,王言国,张军华,朱锦干.基于双重虚拟化的水电厂计算机监控系统设计与实现[J].水电与新能源,2025,39(4):13-16. 被引量：1
2王文娇.“希沃白板5”优化小学语文课堂教学方式对策研究[J].成功,2025(3):0155-0157.
3袁公萍,谢红韬,舒珏淋,周维.基于深度学习的网页内容解析方法[J].现代信息科技,2025,9(8):106-110.
4李莉莉.基于漏洞代码模式的漏洞分类技术[J].电脑编程技巧与维护,2025(4):53-57. 被引量：1

计算机应用与软件

2025年第4期

浏览历史

内容加载中请稍等...

一种面向开源软件漏洞的补丁查找与解析方法

参考文献11

二级参考文献133

共引文献307

相关作者

相关机构

相关主题

浏览历史