新兴软件安全论坛

NASAC

软件作为现代信息技术的灵魂和载体，其安全性的要求正在不断提升；特别是以人工智能、量子信息、移动通信、物联网、区块链为代表的新一代信息技术，依赖软件系统实现。软件安全已经成为影响国家安全、用户人身和财产安全的关键因素。然而，上述新兴软件系统呈现出程序逻辑复杂、运行环境多样、数量大、增速快、目标用户数量巨大等特点，且面临部署后更新升级困难、测试工具缺乏、开发周期受限等约束。如何设计、开发、测试和维护新兴软件，提升其安全性已经成为了学术界和工业界的研究热点之一。本论坛重点关注各类新兴软件的安全问题，以及面向新型软件安全的设计、开发、测试和运维各个环节的方法、技术以及支持工具等。

论坛主席

刘 烃（西安交通大学）

日程安排：

时 间：2020年11月20日（星期五）14:00-17:30

地 点：重庆富力假日酒店 会议室1

论坛议程：

特邀报告及报告人简介:

1. 姜宇：Secure Your Software Systems via Fuzz Testing

摘要：Fuzzing is a promising method for discovering vulnerabilities. Recently, various techniques are developed to improve the efficiency of fuzzing, and impressive gains are observed in evaluation results. However, evaluation is complex, as many factors affect the results, for example, benchmark, baseline and metrics. In order to restore the comparability and authenticity of existing fuzzing works, in this talk, we present an empirical evaluation of fuzzing techniques. First, we systematically evaluate typical fuzzers on a unified test suite with carefully selected metrics. By analyzing the results, we summarize common pitfalls optimizing a fuzzer. Furthermore, to understand the root causes behind the pitfalls, we conduct experiments and propose directions to overcome the problems, and demonstrate how to customize it to different domains such as deep learning, block-chain and industry control.

简介：姜宇，清华大学软件学院副教授，博士生导师。重点关注人工智能、工控等领域的软件安全，利用深度学习与模糊测试等技术，进行软件缺陷的自动挖掘与理解。研发的工具在广泛使用的系统软件中累积发现500余个缺陷，其中100余个漏洞（例如操作系统Linux-kernel 漏洞 CVE-2019-7707 和工控协议Lib-iec61850 漏洞 CVE-2018-19121）被收录入美国国家信息安全漏洞库。相关成果以第一作者或通讯作者在Security，ASE，TSE等知名会议和期刊上发表论文50余篇，获ACM EMSOFT，ICSE-SEIP等会议的最佳论文提名奖5次。曾获2015年中国计算机学会优秀博士论文奖、2018年中国科协青年托举人才计划，2020年阿里巴巴达摩院青橙奖。主持华为、阿里、三菱重工等企业创新研究基金10余项。

2. 郑子彬：区块链可靠性技术研究

摘要：软件系统复杂化及大规模化的趋势，使得软件可靠性的保障变的越来越困难。各类新型软件系统的涌现，也为软件可靠性的研究带来了新的挑战。作为一种新型的分布式系统，区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式，具有去中心化、公开透明、防篡改等特点。区块链技术近年来发展迅速，获得了学术界及工业界的广泛关注，区块链的可靠性保障技术也变成一个急需解决的研究问题。这个报告将介绍区块链可靠性的相关研究工作，包括可靠性评估、可靠性预测、异常监测等。

简介：郑子彬，中山大学软件工程学院副院长、IET Fellow、国家优秀青年科学基金获得者、国家数字家庭工程技术研究中心副主任、区块链与智能金融研究中心主任。共发表论文100余篇，高被引论文5篇，论文谷歌学术引用超过12000次。获得教育部自然科学奖二等奖（第1完成人），首届青年珠江学者、珠江科技新星、国际软件工程大会（ICSE）ACM SIGSOFT Distinguished Paper Award、2018年度全球区块链50篇最具影响力论文奖、有两篇区块链论文入选全球引用最高的10篇区块链论文。

3. 陈厅：智能合约安全研究

摘要：智能合约是分布式应用的基础，也是区块链应用的核心组成部分。近年来，针对智能合约安全漏洞的攻击已经造成了数亿美元的经济损失。本次报告将围绕智能合约安全问题，尤其是代币合约实现与代币标准不一致问题以及通用的智能合约安全攻击检测框架的设计方案展开讨论。

简介：陈厅，电子科技大学计算机科学与工程学院教授、博士生导师。发表了超过40篇学术论文，包括CCS、NDSS、ASE、INFOCOM等顶级国际会议论文。获得国家科技进步二等奖、四川省科技进步一等奖、INFOCOM 2018最佳论文奖、ISPEC 2017最佳论文奖，2018中国区块链最佳论文奖、ESEM 2019最佳论文提名、2018年度全球区块链50篇最具影响力论文奖、2019成都区块链年度优秀个人奖。

4. 范铭：隐私保护合规性检测

摘要：个人数据滥用、信息泄露导致的安全事件层出不穷，用户个人隐私以及企业资产、国家安全面临着巨大的挑战，个人隐私数据安全受到了空前的重视，其安全发展需要社会的监管与企业的自律完善。目前，针对个人隐私数据保护，各国已经相继出台了大量的法规与标准，包括欧盟正式推出的一般数据保护条例GDPR (General Data Protection Regulation)以及同年我国正式生效的GB/T 35273《信息安全技术个人信息安全规范》。然而，目前市场上的大部分移动软件所提供的隐私保护政策并不能满足上述法规的要求。本次报告将围绕着隐私数据保护合规性问题进行分析展开讨论。

简介：范铭，西安交通大学网络空间安全学院助理教授，硕士生导师；香港理工大学、西安交通大学计算机系双学位博士；新加坡南洋理工大学博士后。主要研究方向为软件安全，在ICSE，TIFS，TSE，TR等重要国际期刊与国际会议上发表论文10余篇，并获得ISSRE 2016，NASAC 2018软件系统安全分论坛最佳论文奖。

5. 王竟亦：边界视角下的深度学习安全研究

摘要：可信人工智能（Trustworthy AI）是AI在安全攸关领域应用的基石。近年来，深度学习虽然在众多安全领域有着出色表现，但也深受鲁棒性、公平性等问题的困扰。本次报告将从深度神经网络决策边界的视角，设计并讨论两个简洁的测试算法，分别用以提升深度学习的鲁棒性和公平性。

简介：王竟亦，浙江大学“百人计划”研究员。分别于2013年和2018年从西安交通大学和新加坡科技设计大学获得本科和博士学位，后在新加坡国立大学任Research Fellow。研究兴趣在于软件工程、形式化方法和系统安全的结合，如利用测试、程序分析、形式化验证等技术来为信息物理系统和人工智能系统的安全提供保障。研究成果见于ICSE、ASE、TSE、FM、DSN等，曾两次获得软件工程旗舰会议ICSE的杰出论文奖。