ChinaOSC 2022开源库生态与供应链技术论坛将于8月21日在陕西省西安高新国际会议中心召开。开源软件供应链管理是软件项目持续维护过程中的关键任务,本论坛邀请来自学术界和开源社区的专家分享开源三方库和供应链管理有关的学术研究成果和社区经验,共探供应链管理最佳实践。
ChinaOSC 2022以“开源创新,引领未来”为主题,将汇聚国内外顶级开源专家和开源组织,为参会者呈上一场精彩宏大的专业盛宴。别缺席,等你来,欢迎参会报名!
开源库生态与供应链
论坛背景介绍
开源库是现代软件工程的基础设施。不同编程语言的常用开源库组成了庞大且增长迅速的生态系统(JavaScript/npm、Python/PyPI、Java/Maven、…);于此同时,现代软件系统也深度依赖开源库,组成了错综复杂的软件供应链。开源库生态的繁荣极大地提升了软件开发的效率,然而频发的安全漏洞、供应链攻击、和可持续性失败为软件工程领域带来了新的挑战。本论坛邀请从事相关前沿研究的学者和工业界的相关专家,就前沿研究和实践给出报告,并设置专题讨论环节。本论坛为从事相关学术研究和技术开发的同行提供交流最新成果和探讨亟需解决的重大问题的平台,以期对相关研究和技术落地指出未来方向。
论坛主席:何昊
何昊,北京大学博士研究生,师从周明辉教授。主要研究兴趣是解决与开源软件生态系统和开源软件供应链相关的重要问题,如生态系统演化、可持续性和供应链安全性等,已于国际知名软件工程学术会议和期刊(ICSE、ESEC/FSE、SANER、ICPC等)发表论文7篇。更多详细信息请参见个人主页https://hehao98.github.io/
论坛共同主席:黄凯锋
黄凯锋,2022年博士毕业于复旦大学计算机科学技术学院,导师是彭鑫教授与陈碧欢副教授。同年在同团队任博士后研究员,研究方向是软件工程与开源软件供应链治理。相关研究工作发表于ASE、ESEC/FSE、ICSME、EMSE等知名软件工程国际会议和期刊上。
论坛日程安排
| 时间 |
主题 |
主讲嘉宾 |
单位及任职 |
| 14:15 - 15:15 |
Panel:开源生态/供应链中的重要开放性问题 (与开源生态论坛共同举办) |
邱祎 房春荣 王涛 范玲玲 刘波 |
RT-Thread 南京大学 国防科技大学 南开大学 华为 |
| 15:15 - 15:30 |
浅谈开源软件生态中的许可证使用乱象 |
范玲玲 |
南开大学 副教授 |
| 15:30 - 15:45 |
基于SBOM的软件供应链安全解决方案 |
刘波 |
华为 架构师 |
| 15:45 - 16:00 |
基于静态调用图的开源软件安全漏洞传播面分析与治理方法 |
黄凯锋 |
复旦大学 博士后研究员 |
| 16:00 - 16:15 |
NPM生态系统中安全漏洞的传播及其演进研究 |
刘承威 |
南洋理工大学 博士研究生 |
| 16:15 - 16:30 |
深度学习软件供应链初探——以TensorFlow和PyTorch为例 |
高恺 |
北京大学 博士研究生 |
| 16:30 - 16:45 |
Dependabot自动依赖升级机制的分析与改进 |
何润之 |
北京大学 博士研究生 |
| 16:45 - 17:00 |
Java/JS/Python生态中的库迁移 |
谷海桥 |
北京大学 博士研究生 |
主题报告1:
讲者姓名:
范玲玲
讲者简介:
范玲玲,南开大学网络空间安全学院副教授、博士生导师,南开大学百名青年学科带头人。主要研究方向包括软件分析与测试、软件安全分析等。近五年发表ICSE,ASE,ESEC/FSE, TSE, TOSEM, S&P, TDSC等顶级期刊或会议发表论文30余篇。在软件工程领域国际顶级会议ICSE上获得ACM SIGSOFT杰出论文奖2项,分别是ICSE 2018(第一作者)、ICSE 2021(第二作者)。主持或参与国家自然科学基金,国家重点研发计划项目多项。
报告题目:
浅谈开源软件生态中的许可证使用乱象
报告摘要:
开源软件许可证规定了重用、分发和修改软件等动作应遵循的条款。除了MIT、GPL等流行许可证外,还有描述更加灵活的自定义许可证,许可证多样性对许可证理解及其兼容性提出了挑战。为避免法律、金融、安全风险,在集成第三方开源模块时必须确保整体软件的许可证兼容性。本报告将介绍了一种抽取和解释开源软件许可证并检测许可证兼容性的工具LiDetector。LiDetector采用基基于自然语言处理技术从任意许可证文本中自动识别有意义的许可条款,并采用概率上下文无关语法来推断条款的权利和义务,在此基础上实现对整个开源软件项目的许可证兼容性检测。实验结果表明,LiDetector的表现优于现有方法。
主题报告2:
讲者姓名:
刘波
讲者简介:
华为对外开源社区工具链总架、构建工程软件专家
报告题目:
基于SBOM的软件供应链安全解决方案
报告摘要:
SolarWinds攻击和Log4Shell漏洞影响面广,开源社区与企业排查漏洞成本大周期长,“软件物料清单”(SBOM)已成为软件安全和软件供应链风险管理的关键组成部分。本次分析基于SBOM建设开源社区的软件安全供应链透明数据底座的软件成分分析技术——包括生成、消费与转换——洞察业界主流SBOM数据标准的技术生态,包括开源多语言类库和工具、商业工具与企业方案。关键技术分享:如何建立openEuler大型操作系统RPM万级别软件依赖、混合多种高阶语言依赖、MindSpore&openGauss底层软件场景C/C++无包管理器的软件依赖解析能力;如何建立软件包和SBOM关系,补充License/漏洞/上游社区信息实现软件包正&反向依赖全链路可追溯,最终支持开源社区软件成分精准识别,漏洞补丁统一管理,快速排查License风险/合规风险/安全漏洞影响风险、履行义务声明等。
主题报告3:
讲者姓名:
黄凯锋
讲者简介:
黄凯锋,2022年博士毕业于复旦大学计算机科学技术学院,导师是彭鑫与陈碧欢副教授。同年在同团队任博士后研究员,研究方向是软件工程与开源软件供应链治理。相关研究工作发表于ASE、ESEC/FSE、ICSME、EMSE等知名软件工程国际会议和期刊上。
报告题目:
基于静态调用图的开源软件安全漏洞传播面分析与治理方法
报告摘要:
开源软件的大范围使用形成了复杂多样的开源软件供应链生态,它给软件项目开发带来便利的同时也隐含了潜在的安全风险。复杂的软件系统与供应链依赖网络,使得开发者在检测、评估、修复安全漏洞时都需要较大的分析与治理代价。本报告将从依赖软件的静态API调用图角度,分析开源软件安全漏洞的传播面、评估安全漏洞的使用风险,最后为开发者提供安全漏洞的修复代价与更新建议。
主题报告4:
讲者姓名:
刘承威
讲者简介:
刘承威,新加坡南洋理工大学计算机科学与工程学院博士生,主要研究方向为软件安全与分析,主要包括软件程序分析,软件度量,开源软件安全,软件供应链安全,开源治理等。报告相关研究工作发表在软件工程顶会ICSE22。
报告题目:
NPM生态系统中安全漏洞的传播及其演进研究
报告摘要:
随着软件产业的快速发展,软件供应链日趋复杂。为了避免重复“造轮子”,第三方库为代表的开源组件通过软件依赖被广泛纳入到软件供应链中,软件项目中的开源成分不断增加。然而,在提升开发效率的同时,这也放大了开源组件中安全漏洞的影响与危害。NPM作为软件依赖使用最广泛的开源生态之一,本次报告将以NPM为例,浅析开源组件中安全漏洞在NPM生态系统中的影响传播及其演进过程,并介绍我们针对这类开源供应链安全的相关研究工作。
主题报告5:
讲者姓名:
高恺
讲者简介:
高恺,北京大学软件与微电子学院软件工程专业三年级博士生,导师是谢冰教授和周明辉教授。他于2019年在北京大学获得计算机科学和经济学学士学位。他的研究兴趣主要集中在通过分析全网软件仓库数据来改进开源软件生态和供应链的安全性和可持续性,相关研究成果已经发表在TSE、ICSE和ICPC等国际期刊和会议上。
报告题目:
深度学习软件供应链初探——以TensorFlow和PyTorch为例
报告摘要:
近年来,深度学习吸引了学术界和工业界的广泛关注。随着以TensorFlow和PyTorch为代表的深度学习框架的出现,深度学习被广泛应用到许多领域,并逐渐形成了以深度学习框架为核心,大量下游项目为外围的深度学习软件供应链。但是目前,我们对深度学习软件供应链的结构和特点缺乏一个基本的了解。本报告基于开源大数据,以TensorFlow和PyTorch这两个国际最流行的深度学习框架为例,构建以它们为起点的软件供应链,并从结果、应用领域和演化因素三个方面提供一组关于深度学习软件供应链的洞察。
主题报告6:
讲者姓名:
何润之
讲者简介:
何润之,北京大学计算机学院博士研究生,主要研究方向为开源软件社区与开源软件供应链。在周明辉教授的指导下参与“Java库迁移的大规模实证研究”等科研工作,其成果发表于2021年度ESEC/FSE会议。
报告题目:
Dependabot自动依赖升级机制的分析与改进
报告摘要:
升级依赖能维护供应链安全、减轻技术债务,而这对开发者而言意味着引入不兼容变更的风险与额外的工作量。依赖升级机器人会在软件仓库中自动扫描升级的依赖, 并以PR的形式代开发者升级这些依赖。尽管此类机器人近来在开源代码托管平台上愈加风靡,先前的研究却表明,开发者对机器人执行的依赖升级不甚信赖,对机器人海量的消息通知颇为烦扰。为此我们对 GitHub 平台上使用量最大的依赖升级机器人——Dependabot进行了探索性数据分析与用户调研,并探究了:1) Dependabot能否有效更新项目依赖?2) Dependabot的Compatibility Score机制能否增强开发者的升级信心?3) Dependabot能否有效减少对开发者的打扰?结果显示,依赖升级机器人依然存在较大的提升空间,需要机器人开发者与学界的共同努力以弥补其不足。
主题报告7:
讲者姓名:
谷海桥
讲者简介:
谷海桥,北京大学计算机学院2021级博士生,主要研究方向为开源软件数据挖掘。本报告涉及的部分相关工作发表于软件工程领域顶级学术会议ESEC/FSE 2021上。
报告题目:
Java/Python/JS生态中的库迁移
报告摘要:
随着开源软件(OSS)的兴起和软件包托管平台的发展,越来越多的开发者选择重用现有的第三方库进行项目开发,从而降低开发成本,提高开发效率。然而,在重用第三方库的过程中,当开发者无法通过升降级来解决库中存在的问题,如安全漏洞、兼容性等,就需要用另一个功能相同或相似的第三方库来代替,这种操作被称为库迁移。库迁移的整个过程涉及到迁移对象的选择和相关代码的适配,其成本非常高昂。已有研究已经表明Java生态中的库迁移较为普遍且逐年增加,但我们对其他生态中的库迁移情况知之甚少,同时,从研究的角度来讲,如何在海量提交历史中定位到库迁移也不是一件容易的事情。鉴于Python和JS作为当下使用最广泛的语言,各有其历史特点以及使用特性,本次报告将以Java/Python/JS为例,简要介绍库迁移的定位方式并浅析库迁移在三种生态之中的异同点。
Panel嘉宾介绍:
邱祎
简介:上海睿赛德电子科技有限公司联合创始人,《嵌入式实时操作系统:RT-Thread设计与实现》书籍作者。电子科技大学硕士毕业,从 2006 年起参与开发和维护 RT-Thread 开源操作系统,和中国国内优秀的工程师一起将 RT-Thread 从零发展起来, RT-Thread 被广泛应用于航空航天,国防军工,电力、能源、车载、医疗、消费电子等众多行业,成为国人自主开发、成熟稳定和装机量大的开源嵌入式操作系统。
房春荣
简介:博士,南京大学软件学院教师,南京大学-数兑联合研究中心主任,CCF容错计算专委会委员,江苏省软件工程标准化技术委员会委员,主要从事智能软件工程研究。主持国家自然科学基金项目2项,国家重点研发项目骨干2项,省重点研发项目骨干1项,教育部产学合作协同育人项目3项,横向科研项目若干。曾担任AIST等国际会议程序委员会共同主席,FSE、ASE、ISSRE等国际会议程序委员会委员。在ICSE、FSE、ASE、ISSTA、SCIS等会议期刊发表论文20余篇,申请发明专利10余项,部分成果在华为、百度等知名企业应用。参编多项软件工程和工业APP相关国家、省、团体标准。获CCF TCFTC 2021年软件测试青年创新奖,2018国家精品在线开放课程、2020国家级一流本科课程《软件测试》主要成员。
王涛
简介:国防科技大学副研究员,计算机学院PDL实验室分布计算研究室副主任,CCF开源发展委员会副秘书长,木兰开源社区技术委员会委员。长期从事群智软件工程、开源生态研究以及开源平台的建设与实践,在TSE、CHI、MSR等期刊和会议上发表论文多篇,是群体化创新实践科教平台Trustie以及CCF开源创新服务平台GitLink研发负责人,为木兰开源社区、红山开源社区等提供平台和技术支撑。
范玲玲
简介:南开大学网络空间安全学院副教授、博士生导师,南开大学百名青年学科带头人。主要研究方向包括软件分析与测试、软件安全分析等。近五年发表ICSE,ASE,ESEC/FSE, TSE, TOSEM, S&P, TDSC等顶级期刊或会议发表论文30余篇。在软件工程领域国际顶级会议ICSE上获得ACM SIGSOFT杰出论文奖2项,分别是ICSE 2018(第一作者)、ICSE 2021(第二作者)。主持或参与国家自然科学基金,国家重点研发计划项目多项。
刘波
简介:华为对外开源社区工具链总架、构建工程软件专家。
2022 CCF中国开源大会(CCF ChinaOSC)拟于2022年8月20日至21日在陕西省西安高新国际会议中心召开。大会由中国计算机学会(CCF)和开放原子开源基金会主办,CCF开源发展委员会、西安电子科技大学承办,本届大会的主题为“开源创新,引领未来”。
作为第一届CCF中国开源大会,本届大会将组织特邀报告、开源高峰论坛、开源发展委员会路演、社区论坛、技术论坛、教育论坛、开源创新大赛培训等20余个不同类型的活动。大会将邀请10余位开源及相关领域中国科学院院士、中国工程院院士与知名专家,为大会带来特邀报告并参加开源高峰论坛等活动。目前已邀请参会的两院院士与知名嘉宾包括中国科学院院士梅宏,中国工程院院士廖湘科,中国科学院院士王怀民,中国工程院院士孙凝晖,中国科学院院士钱德沛,工信部科技司司长谢少锋,国家杰出自然科学基金获得者、清华大学教授胡事民等。本届大会预计将吸引参会单位超过100家,作为中国开源领域的年度盛会,诚挚地邀请开源领域学术界、企业界、教育界的学者、从业者、师生等前来参会!