ChinaOSC 2022 开源库生态与供应链技术论坛将于 8 月 21 日在陕西省西安高新国际会议中心召开。开源软件供应链治理是软件我的项目继续保护过程中的要害工作,本论坛邀请来自学术界和开源社区的专家分享开源三方库和供应链治理无关的学术研究成绩和社区教训,共探供应链治理最佳实际。
ChinaOSC 2022 以“开源翻新,引领将来”为主题,将汇聚国内外顶级开源专家和开源组织,为参会者呈上一场精彩巨大的业余盛宴。别缺席,等你来,欢送参会报名!
开源库生态与供应链
论坛背景介绍
开源库是古代软件工程的基础设施。不同编程语言的罕用开源库组成了宏大且增长迅速的生态系统(JavaScript/npm、Python/PyPI、Java/Maven、…);于此同时,古代软件系统也深度依赖开源库,组成了盘根错节的软件供应链。开源库生态的凋敝极大地晋升了软件开发的效率,然而频发的安全漏洞、供应链攻打、和可持续性失败为软件工程畛域带来了新的挑战。本论坛邀请从事相干前沿钻研的学者和工业界的相干专家,就前沿钻研和实际给出报告,并设置专题讨论环节。本论坛为从事相干学术研究和技术开发的同行提供交换最新成绩和探讨亟需解决的重大问题的平台,以期对相干钻研和技术落地指出将来方向。
论坛主席:何昊
何昊,北京大学博士研究生,师从周明辉传授。次要钻研趣味是解决与开源软件生态系统和开源软件供应链相干的重要问题,如生态系统演变、可持续性和供应链安全性等,已于国内出名软件工程学术会议和期刊(ICSE、ESEC/FSE、SANER、ICPC 等)发表论文 7 篇。更多详细信息请参见个人主页 https://hehao98.github.io/
论坛独特主席:黄凯锋
黄凯锋,2022 年博士毕业于复旦大学计算机科学技术学院,导师是彭鑫传授与陈碧欢副教授。同年在同团队任博士后研究员,钻研方向是软件工程与开源软件供应链治理。相干钻研工作发表于 ASE、ESEC/FSE、ICSME、EMSE 等出名软件工程国内会议和期刊上。
论坛日程安排
主题报告 1:
讲者姓名:
范玲玲
讲者简介:
范玲玲,南开大学网络空间平安学院副教授、博士生导师,南开大学百名青年学科带头人。次要钻研方向包含软件剖析与测试、软件平安剖析等。近五年发表 ICSE,ASE,ESEC/FSE, TSE, TOSEM, S&P, TDSC 等顶级期刊或会议发表论文 30 余篇。在软件工程畛域国内顶级会议 ICSE 上取得 ACM SIGSOFT 卓越论文奖 2 项,别离是 ICSE 2018(第一作者)、ICSE 2021(第二作者)。主持或参加国家自然科学基金,国家重点研发打算我的项目多项。
报告题目:
浅谈开源软件生态中的许可证应用乱象
报告摘要:
开源软件许可证规定了重用、散发和批改软件等动作应遵循的条款。除了 MIT、GPL 等风行许可证外,还有形容更加灵便的自定义许可证,许可证多样性对许可证了解及其兼容性提出了挑战。为防止法律、金融、平安危险,在集成第三方开源模块时必须确保整体软件的许可证兼容性。本报告将介绍了一种抽取和解释开源软件许可证并检测许可证兼容性的工具 LiDetector。LiDetector 采纳基基于自然语言解决技术从任意许可证文本中自动识别有意义的许可条款,并采纳概率上下文无关语法来推断条款的权力和任务,在此基础上实现对整个开源软件我的项目的许可证兼容性检测。试验结果表明,LiDetector 的体现优于现有办法。
主题报告 2:
讲者姓名:
刘波
讲者简介:
华为对外开源社区工具链总架、构建工程软件专家
报告题目:
基于 SBOM 的软件供应链平安解决方案
报告摘要:
SolarWinds 攻打和 Log4Shell 破绽影响面广,开源社区与企业排查破绽老本大周期长,“软件物料清单”(SBOM)已成为软件平安和软件供应链风险管理的要害组成部分。本次剖析基于 SBOM 建设开源社区的软件平安供应链通明数据底座的软件成分剖析技术——包含生成、生产与转换——洞察业界支流 SBOM 数据规范的技术生态,包含开源多语言类库和工具、商业工具与企业计划。关键技术分享:如何建设 openEuler 大型操作系统 RPM 万级别软件依赖、混合多种高阶语言依赖、MindSpore&openGauss 底层软件场景 C/C++ 无包管理器的软件依赖解析能力;如何建设软件包和 SBOM 关系,补充 License/ 破绽 / 上游社区信息实现软件包正 & 反向依赖全链路可追溯,最终反对开源社区软件成分精准辨认,漏洞补丁对立治理,疾速排查 License 危险 / 合规危险 / 安全漏洞影响危险、履行义务申明等。
主题报告 3:
讲者姓名:
黄凯锋
讲者简介:
黄凯锋,2022 年博士毕业于复旦大学计算机科学技术学院,导师是彭鑫与陈碧欢副教授。同年在同团队任博士后研究员,钻研方向是软件工程与开源软件供应链治理。相干钻研工作发表于 ASE、ESEC/FSE、ICSME、EMSE 等出名软件工程国内会议和期刊上。
报告题目:
基于动态调用图的开源软件安全漏洞流传面剖析与治理办法
报告摘要:
开源软件的大范畴应用造成了简单多样的开源软件供应链生态,它给软件我的项目开发带来便当的同时也隐含了潜在的平安危险。简单的软件系统与供应链依赖网络,使得开发者在检测、评估、修复安全漏洞时都须要较大的剖析与治理代价。本报告将从依赖软件的动态 API 调用图角度,剖析开源软件安全漏洞的流传面、评估安全漏洞的应用危险,最初为开发者提供安全漏洞的修复代价与更新倡议。
主题报告 4:
讲者姓名:
刘承威
讲者简介:
刘承威,新加坡南洋理工大学计算机科学与工程学院博士生,次要钻研方向为软件平安与剖析,次要包含软件程序剖析,软件度量,开源软件平安,软件供应链平安,开源治理等。报告相干钻研工作发表在软件工程顶会 ICSE22。
报告题目:
NPM 生态系统中安全漏洞的流传及其演进钻研
报告摘要:
随着软件产业的疾速倒退,软件供应链日趋简单。为了防止反复“造轮子”,第三方库为代表的开源组件通过软件依赖被宽泛纳入到软件供应链中,软件我的项目中的开源成分一直减少。然而,在晋升开发效率的同时,这也放大了开源组件中安全漏洞的影响与危害。NPM 作为软件依赖应用最宽泛的开源生态之一,本次报告将以 NPM 为例,浅析开源组件中安全漏洞在 NPM 生态系统中的影响流传及其演进过程,并介绍咱们针对这类开源供应链平安的相干钻研工作。
主题报告 5:
讲者姓名:
高恺
讲者简介:
高恺,北京大学软件与微电子学院软件工程业余三年级博士生,导师是谢冰传授和周明辉传授。他于 2019 年在北京大学取得计算机科学和经济学学士学位。他的钻研趣味次要集中在通过剖析全网软件仓库数据来改良开源软件生态和供应链的安全性和可持续性,相干研究成果曾经发表在 TSE、ICSE 和 ICPC 等国内期刊和会议上。
报告题目:
深度学习软件供应链初探——以 TensorFlow 和 PyTorch 为例
报告摘要:
近年来,深度学习吸引了学术界和工业界的宽泛关注。随着以 TensorFlow 和 PyTorch 为代表的深度学习框架的呈现,深度学习被广泛应用到许多畛域,并逐步造成了以深度学习框架为外围,大量上游我的项目为外围的深度学习软件供应链。然而目前,咱们对深度学习软件供应链的构造和特点不足一个根本的理解。本报告基于开源大数据,以 TensorFlow 和 PyTorch 这两个国内最风行的深度学习框架为例,构建以它们为终点的软件供应链,并从后果、应用领域和演变因素三个方面提供一组对于深度学习软件供应链的洞察。
主题报告 6:
讲者姓名:
何润之
讲者简介:
何润之,北京大学计算机学院博士研究生,次要钻研方向为开源软件社区与开源软件供应链。在周明辉传授的领导下参加“Java 库迁徙的大规模实证钻研”等科研工作,其成绩发表于 2021 年度 ESEC/FSE 会议。
报告题目:
Dependabot 主动依赖降级机制的剖析与改良
报告摘要:
降级依赖能保护供应链平安、加重技术债权,而这对开发者而言意味着引入不兼容变更的危险与额定的工作量。依赖降级机器人会在软件仓库中主动扫描降级的依赖, 并以 PR 的模式代开发者降级这些依赖。只管此类机器人近来在开源代码托管平台上更加风靡,先前的钻研却表明,开发者对机器人执行的依赖降级不甚信赖,对机器人海量的音讯告诉颇为搅扰。为此咱们对 GitHub 平台上使用量最大的依赖降级机器人——Dependabot 进行了探索性数据分析与用户调研,并探索了:1) Dependabot 是否无效更新我的项目依赖?2) Dependabot 的 Compatibility Score 机制是否加强开发者的降级信念?3) Dependabot 是否无效缩小对开发者的打搅?结果显示,依赖降级机器人仍然存在较大的晋升空间,须要机器人开发者与学界的共同努力以补救其有余。
主题报告 7:
讲者姓名:
谷海桥
讲者简介:
谷海桥,北京大学计算机学院 2021 级博士生,次要钻研方向为开源软件数据挖掘。本报告波及的局部相干工作发表于软件工程畛域顶级学术会议 ESEC/FSE 2021 上。
报告题目:
Java/Python/JS 生态中的库迁徙
报告摘要:
随着开源软件(OSS)的衰亡和软件包托管平台的倒退,越来越多的开发者抉择重用现有的第三方库进行我的项目开发,从而升高开发成本,进步开发效率。然而,在重用第三方库的过程中,当开发者无奈通过升降级来解决库中存在的问题,如安全漏洞、兼容性等,就须要用另一个性能雷同或类似的第三方库来代替,这种操作被称为库迁徙。库迁徙的整个过程波及到迁徙对象的抉择和相干代码的适配,其老本十分昂扬。已有钻研曾经表明 Java 生态中的库迁徙较为广泛且逐年减少,但咱们对其余生态中的库迁徙状况知之甚少,同时,从钻研的角度来讲,如何在海量提交历史中定位到库迁徙也不是一件容易的事件。鉴于 Python 和 JS 作为当下应用最宽泛的语言,各有其历史特点以及应用个性,本次报告将以 Java/Python/JS 为例,简要介绍库迁徙的定位形式并浅析库迁徙在三种生态之中的异同点。
Panel 嘉宾介绍:
邱祎
简介:上海睿赛德电子科技有限公司联结创始人,《嵌入式实时操作系统:RT-Thread 设计与实现》书籍作者。电子科技大学硕士毕业,从 2006 年起参加开发和保护 RT-Thread 开源操作系统,和中国国内优良的工程师一起将 RT-Thread 从零倒退起来,RT-Thread 被广泛应用于航空航天,国防军工,电力、能源、车载、医疗、生产电子等泛滥行业,成为国人自主开发、成熟稳固和装机量大的开源嵌入式操作系统。
房春荣
简介:博士,南京大学软件学院老师,南京大学 - 数兑联结钻研核心主任,CCF 容错计算专委会委员,江苏省软件工程标准化技术委员会委员,次要从事智能软件工程钻研。主持国家自然科学基金我的项目 2 项,国家重点研发我的项目骨干 2 项,省重点研发我的项目骨干 1 项,教育部产学单干协同育人我的项目 3 项,横向科研项目若干。曾负责 AIST 等国内会议程序委员会独特主席,FSE、ASE、ISSRE 等国内会议程序委员会委员。在 ICSE、FSE、ASE、ISSTA、SCIS 等会议期刊发表论文 20 余篇,申请发明专利 10 余项,局部成绩在华为、百度等知名企业利用。参编多项软件工程和工业 APP 相干国家、省、个人规范。获 CCF TCFTC 2021 年软件测试青年创新奖,2018 国家精品在线凋谢课程、2020 国家级一流本科课程《软件测试》次要成员。
王涛
简介:国防科技大学副研究员,计算机学院 PDL 实验室散布计算研究室副主任,CCF 开源倒退委员会副秘书长,木兰开源社区技术委员会委员。长期从事群智软件工程、开源生态钻研以及开源平台的建设与实际,在 TSE、CHI、MSR 等期刊和会议上发表论文多篇,是群体化翻新实际科教平台 Trustie 以及 CCF 开源翻新服务平台 GitLink 研发负责人,为木兰开源社区、红山开源社区等提供平台和技术撑持。
范玲玲
简介:南开大学网络空间平安学院副教授、博士生导师,南开大学百名青年学科带头人。次要钻研方向包含软件剖析与测试、软件平安剖析等。近五年发表 ICSE,ASE,ESEC/FSE, TSE, TOSEM, S&P, TDSC 等顶级期刊或会议发表论文 30 余篇。在软件工程畛域国内顶级会议 ICSE 上取得 ACM SIGSOFT 卓越论文奖 2 项,别离是 ICSE 2018(第一作者)、ICSE 2021(第二作者)。主持或参加国家自然科学基金,国家重点研发打算我的项目多项。
刘波
简介:华为对外开源社区工具链总架、构建工程软件专家。
2022 CCF 中国开源大会(CCF ChinaOSC)拟于 2022 年 8 月 20 日至 21 日在陕西省西安高新国际会议中心召开。大会由中国计算机学会(CCF)和凋谢原子开源基金会主办,CCF 开源倒退委员会、西安电子科技大学承办,本届大会的主题为“开源翻新,引领将来”。
作为第一届 CCF 中国开源大会,本届大会将组织特邀报告、开源高峰论坛、开源倒退委员会路演、社区论坛、技术论坛、教育论坛、开源翻新大赛培训等 20 余个不同类型的流动。大会将邀请 10 余位开源及相干畛域中国科学院院士、中国工程院院士与出名专家,为大会带来特邀报告并加入开源高峰论坛等流动。目前已邀请参会的两院院士与出名嘉宾包含中国科学院院士梅宏,中国工程院院士廖湘科,中国科学院院士王怀民,中国工程院院士孙凝晖,中国科学院院士钱德沛,工信部科技司司长谢少锋,国家卓越自然科学基金获得者、清华大学传授胡事民等。本届大会预计将吸引参会单位超过 100 家,作为中国开源畛域的年度盛会,诚挚地邀请开源畛域学术界、企业界、教育界的学者、从业者、师生等前来参会!