index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
复旦大学CodeWisdom团队的研究论文《Mystique: Automated Vulnerability Patch Porting with Semantic and Syntactic-Enhanced LLM》在FSE 2025大会上获得杰出论文奖。该研究提出了一种基于语义与语法增强的大模型的自动化漏洞补丁迁移方法Mystique,有效解决了多分支项目中的漏洞补丁迁移难题,显著提升了修复效率和准确性。
🔍 Mystique是一种基于语义与语法增强的大模型的自动化漏洞补丁迁移方法,专门针对多分支软件开发中补丁难以直接迁移的问题。
🛡️ 该方法首先对漏洞相关代码进行语义切片和语法恢复,提取原始补丁和目标漏洞函数的签名,为后续的自动化迁移奠定基础。
🚀 Mystique利用LoRA微调的LLM生成初步修复函数,并通过语义与语法层面的迭代检查与精修,确保补丁的正确性和有效性,大幅提升迁移成功率。
📈 实验评估显示,Mystique在函数级别和CVE级别的成功迁移率分别达到95.4%和92.4%,较现有方法提升显著,并在不同项目、漏洞类型和编程语言上展现出良好通用性。
🛠️ 该研究成果已成功应用于34个真实世界的漏洞分支补丁迁移,证明了其强大的实践价值和广泛适用性,是CodeWisdom团队长期研究积累的成果体现。
原创 CodeWisdom 2025-07-04 08:02 上海
关于软件多分支之间漏洞补丁自动化迁移的研究工作获得FSE 2025杰出论文奖
点击蓝字 关注我们 复旦大学计算与智能创新学院CodeWisdom团队(复旦大学软件工程实验室)的研究论文 《Mystique: Automated Vulnerability Patch Porting with Semantic and Syntactic-Enhanced LLM》 近日在挪威特隆赫姆举办的国际会议ACM International Conference on the Foundations of Software Engineering(FSE 2025)中获得 杰出论文奖(ACM SIGSOFT Distinguished Paper Award) 。FSE是CCF推荐的A类国际会议,也是软件工程领域的重要国际会议。本次大会共吸引了607篇论文的投稿,最终录用135篇。 论文作者包括博士生吴苏晟、硕士生王睿思、博士生曹毅恒、副教授陈碧欢、博士生周卓彤、博士生黄艺恒、硕士生赵钧鹏、教授彭鑫。
在现代软件开发中,分支仓库为功能开发提供了高效的管理方式,但可能无意中将漏洞从主分支传播到各个未修复的分支。即使开发者对原始分支打上了补丁,其他分支仍将受到漏洞的影响。补丁迁移是一种高效的针对多分支项目的自动化漏洞修复策略。然而,分支间固有的代码差异使得许多补丁无法直接迁移,必须依赖人工干预,既耗时耗力又容易出错,从而加大了安全风险。现有的自动化补丁迁移方法往往忽视漏洞的语义和语法上下文,对错误补丁也缺乏有效的检测与精修机制,导致修复结果不完全甚至破坏项目原有的功能 。
针对上述问题,CodeWisdom团队提出了Mystique,一种基于语义与语法增强的大模型的自动化漏洞补丁迁移方法。Mystique首先对与漏洞相关的代码语句进行语义切片并恢复完整语法,提取原始补丁函数与目标漏洞函数的签名;随后,利用经LoRA微调的LLM生成初步修复函数,并通过语义与语法层面的迭代检查与精修,确保补丁能够正确迁移。实验评估表明,Mystique在函数级别和CVE级别的成功迁移率分别达到95.4%和92.4%,较最先进方法至少提升13.2%和12.3%;此外,Mystique在不同项目、不同漏洞类型、不同编程语言上均展现出良好的通用性,并已成功迁移了34个真实世界的漏洞分支补丁。 CodeWisdom团队的软件供应链小组长期致力于软件供应链风险治理的研究,研制了开源风险治理平台伏羲,在高质量软件供应链知识(漏洞知识、许可证知识等)汇聚的基础上,利用一系列高精度程序分析技术(代码差异分析、调用图分析等)实现多种软件供应链风险(安全风险、法律风险等)的高精度分析与治理服务,显著提升软件的核心竞争力与供给能力。此次研究成果是长期技术积累与企业需求相结合的产物,更促进了团队坚持走“科研服务产业、产业促进科研”的发展道路。 CodeWisdom
阅读原文
跳转微信打开
