2025年6月20—22日，第 16 届国际网构软件会议(Internetware 2025)在挪威特隆赫姆举行，中科天齐团队成员孟海宁博士在会上展示了题为《SLVHound: Static Detection of Session Lingering Vulnerabilities in Modern Java Web Applications》(现代Java Web应用会话滞留漏洞的静态检测)的研究成果，并荣获该会议的 ACM SIGSOFT 杰出论文奖。ACM SIGSOFT杰出论文奖是由ACM SIGSOFT设立的论文奖项，用于奖励软件工程顶级会议上不超过10%的最优秀论文。ACM SIGSOFT 杰出论文奖会话滞留漏洞(Session Lingering Vulnerabilities, SLV)是一种常被忽视的认证问题，它会导致用户在完成敏感认证操作(如登出、密码修改等)后会话仍持续有效。尽管这类漏洞广泛存在且危害严重，却长期缺乏研究关注。团队首次对Web应用中的SLV进行了系统性研究，通过对2020-2023年间330个的认证相关漏洞分布研究揭示了SLV的普遍性和严重性(CVSS 3.0均分7.7，达到高严重性)。检测SLV需要判断认证敏感操作发生后是否过期了对应的已认证会话。SLV属于应用逻辑类漏洞，不同应用的认证敏感操作和会话过期的实现不同，这给静态检测带来了挑战。本研究通过深入分析这72个实际的BOLA漏洞，总结出推断认证敏感操作和会话过期操作的启发式规则，为后续检测奠定了基础。 在研究过程中，团队开发了新型检测工具SLVHound，该工具通过静态分析代码和SQL查询，识别敏感认证操作与会话终止逻辑，进而验证二者是否严格关联——即执行敏感操作后会话是否立即失效。最终在15款主流Web应用上，SLVHound共报告了46个记录，经验证，其中44个确认为真实SLV(包含30个首次披露的漏洞)，获得16个CVE编号。

近日，嘶吼安全产业研究院正式发布《嘶吼2025网络安全产业图谱》，北京中科天齐信息技术有限公司(以下简称：中科天齐)凭借在应用安全领域的技术实力及产品应用能力入选软件供应链安全——静态应用程序安全测试(SAST)领域。此次入选体现了行业对中科天齐技术实力和市场地位的充分认可。嘶吼安全产业研究院凭借深入的调研、专业的分析，全景式展现网络安全产业的最新态势，挖掘潜在发展机遇，旨在为行业从业者提供高价值参考，助力在复杂多变的网络安全领域找准前行方向。 中科天齐“WuKong”作为一款国产自主研发的静态安全测试工具，采用自主专利技术的程序分析引擎，多种创新性的静态分析技术，结合深度学习和人工智能等多种方法，大幅提高了检测工具的功能性能。自定义功能及定制化更好地将工具适配于不同企业的开发流程。未来，中科天齐将继续技术创新优势，为推动网络安全产业发展，构建网络安全生态贡献力量。

近日，国内知名网络安全领域咨询和研究机构安全牛发布第十二版《中国网络安全行业全景图》(以下简称“全景图”)，中科天齐凭借在静态程序分析领域技术创新能力、深度研发能力和产品实际应用能力入选“软件供应链安全-静态安全测试”领域，中科天齐连续多年入选安全牛《中国网络安全行业全景图》，体现了行业对中科天齐实力的高度认可。全景图以用户调研洞察和产业创新发展为依据，对于成熟、标准的产品考量了其市场应用的典型性和代表性，对于新技术产品考量到技术先进性和创新能力。全景图全面覆盖网络安全行业生态，旨在为企事业单位、投资机构及从业者提供精准的产业参考。 中科天齐“WuKong”作为一款国产自主研发的静态安全测试工具，采用自主专利技术的程序分析引擎，多种创新性的静态分析技术，结合深度学习和人工智能等多种方法，大幅提高了检测工具的功能性能。自定义功能及定制化更好地将工具适配于不同企业的开发流程。未来，中科天齐将继续秉持创新驱动战略，深耕前沿技术领域，充分发挥自主创新核心优势，全力助力企业软件安全可控的高质量开发，为筑牢网络安全屏障注入源源不断的创新动能。

根据《中国发明协会关于2025年度“发明创业奖”评选工作的通知》(中发协字〔2025〕6号)要求，现对我单位拟提名2025年度“发明创业奖成果奖”的项目“中科天齐软件源代码安全缺陷检测平台”进行公示，公示期自2025年4月22日至2025年4月28日(7个自然日)。提名单位：北京中科天齐信息技术有限公司项目名称：中科天齐软件源代码安全缺陷检测平台完成人及完成单位：李炼(北京中科天齐信息技术有限公司)提名等级：发明创业奖成果奖项目简介：中科天齐软件源代码安全缺陷检测平台(WuKong)为北京中科天齐信息技术有限公司自有知识产权产品，是一款自主可控的国产化静态代码安全测试软件，可用于检测多种主流语言代码的运行时缺陷、安全漏洞及编码标准规范，可根据需求进行定制化。兼容麒麟、鲲鹏等多种国产化环境。可直接整合到开发流程中，与代码管理仓库，缺陷管理系统进行对接，在不增加研发成本的前提下帮助开发人员降低交付不安全代码的风险。知识产权：序号 专利名称 专利号 法律状况  1基于变量关联规则的缓冲区溢出检测方法 ZL202010012878.2 授权 2一种TensorFlow程序漏洞检测方法、装置及电子设备 ZL202110606581.3 授权公示期内，任何单位和个人对公示的项目有异议，可以以书面形式向北京中科天齐信息技术有限公司进行反映，并提供必要的证明材料。逾期或匿名等不按要求提出的异议不予受理。我单位按有关规定对异议提出者的相关信息予以保护。通讯地址：北京市海淀区知春路甲48号盈都大厦C座三单元10D邮政编码：100086联系电话：17319253265电子邮箱：liuchaofan@tianqisoft.cn北京中科天齐信息技术有限公司 2025年4月22日

中科天齐安全研究团队在Apache Roller开源博客平台发现一个重大高危漏洞，该漏洞可能允许恶意行为者在更改密码后保留未经授权的访问。中科天齐团队在发现漏洞后及时上报给Apache Roller项目维护团队，目前漏洞已被修复，团队成员孟海宁因发现并报告此漏洞获得致谢。该漏洞一经发现便迅速引发了国际网络安全领域媒体的广泛关注与热议。鉴于其潜在风险，我们郑重提醒广大用户，请务必高度重视并及时进行产品升级修复。Apache Roller 是一个多用户博客平台，可以支持数千个博客和用户。它为群组博客提供对主题和模板、内容管理系统、集成搜索和三个权限级别(所有者、编辑者和起草者)的支持。关于漏洞 CVE-2025-24859该漏洞编号为 CVE-2025-24859，CVSS评分为最高危险等级的10.0，是 Apache Roller 近年来出现的第一个严重性漏洞。该漏洞与会话过期时间不足有关，当系统或应用程序在更改密码后无法使现有用户的活动会话失效时，就会出现此漏洞。攻击者可以利用此类会话管理漏洞以多种方式获利。例如，攻击者如果之前通过会话劫持攻击等手段获得了用户会话的访问权限，即使受害者更改了密码，他们仍然可以保持这种未经授权的访问。因为密码更改无效，他们将能够维持对受影响系统的持久性。受影响版本Roller 6.1.4 之前的所有版本。修复方案Apache Roller开源博客平台开发团队已在 6.1.5 版本中修复该漏洞，通过实施集中式会话管理机制，确保密码修改或用户禁用操作会使所有活动会话立即失效。关于中科天齐 北京中科天齐信息技术有限公司由李炼博士于2018年创立。公司安全研究团队专注于程序分析与软件安全领域的前沿研究和产品开发。截至目前，团队已为开源社区发现并报告了数百个严重缺陷，并获得了100多个CVE编号。公司旗下的中科天齐软件源代码安全缺陷检测平台，能够高效检测软件源代码中的运行时缺陷、安全漏洞以及编码标准规范问题。该平台凭借其卓越的性能和精准的检测能力，已广泛应用于IT企业、政府机关、军工企业以及科研院所等多个领域，为软件安全保驾护航。

DevSecOps将开发(Dev)、安全(Sec)和运维(Ops)紧密结合，并将安全检查贯穿于软件开发生命周期(SDLC)的各个阶段。这种方法解决了开发、安全和运维团队之间的脱节问题，能够保障持续集成和持续交付(CI/CD)管道的安全，并生产高质量的软件。随着网络攻击的增加，DevSecOps已经成为一种必要，而不仅仅是一种选择。传统的安全方法由于依赖手动流程，速度较慢，难以应对快速变化的数字环境中的复杂网络威胁。而AI的融入可以显著提升DevSecOps的安全性和效率。当前，AI主要应用于以下：自动化威胁检测：AI工具通过分析代码和提交历史记录来识别安全漏洞和异常行为。这些工具能够持续学习和改进，利用机器学习(ML)算法进行实时模式分析，简化了潜在恶意行为的识别过程。早期识别漏洞意味着开发人员可以立即处理这些问题，显著减少解决时间。改进代码审查：AI可以协助进行自动化代码审查，将代码与安全最佳实践进行对比检查。它能够理解代码的上下文和含义，从而检测出可能被人类审查者或传统静态分析工具遗漏的复杂安全漏洞。自动化安全测试：企业可以利用AI驱动的工具执行静态应用安全测试(SAST)和动态应用安全测试(DAST)，在应用程序部署之前识别安全漏洞。实时监控：AI可以利用ML算法近乎实时地监控应用程序和环境，检测并触发可能表明安全事件的可疑行为警报。随着威胁形势的不断演变，这种监控和管理威胁的能力使得企业能够采取新的主动式事件响应和缓解方法。预测分析：通过分析现有数据和趋势，AI利用预测分析来预测未来的安全威胁。企业可以利用这种前瞻性来加强防御，防止新的攻击向量出现。简化合规：AI可以自动执行安全策略和法规，贯穿整个开发周期。这减少了人为错误，确保始终遵守标准。挑战和限制尽管AI为DevSecOps提供了巨大的潜力，但也存在一些挑战，包括需要可靠的数据来训练模型。此外，AI本身可能会成为安全目标，因此公司必须保持警惕，定期检查其AI系统以确保其效率和防御新风险。DevSecOps中的AI将AI与DevSecOps集成是软件交付管道安全的下一个趋势。AI在威胁检测、预测分析、实时监控和持续合规等方面的应用，将彻底改变SDLC各阶段的安全性。通过在DevSecOps管道中采用AI，组织可以在快速变化的环境中建立强大的安全态势，同时保持竞争优势，快速部署安全的应用程序。AI在DevSecOps中的集成可以解决实际问题，如：勒索软件攻击：AI工具可以观察异常活动，识别表明勒索软件攻击的行为，帮助组织在数据加密之前采取主动措施。零日漏洞检测：使用ML算法，AI可以分析源代码中的模式，预测未知的零日漏洞，从而减少对尚未知晓的威胁的暴露。云设置错误配置：AI可以帮助确定云配置设置，防止潜在的安全威胁和漏洞。 合规自动化：利用AI自动化符合通用数据保护条例(GDPR)或支付卡行业数据安全标准(PCI DSS)等标准的流程。

2024年11月15日-17日，2024 CCF中国软件大会(2024 CCF ChinaSoft)在西安举行。会议期间，中国计算机学会系统软件专业委员会对2024年CCF系统软件专委博士学位论文激励计划获奖者进行颁奖。经过评审，本年度全国共2篇博士学位论文获奖，4篇博士学位论文获得提名，中科天齐团队成员李昊峰博士的学位论文《IFDS信息流分析框架的优化方法》获提名奖。CCF系统软件专委博士学位论文激励计划由中国计算机学会系统软件专业委员会设立，旨在进一步推动系统软件领域高水平创新人才培养工作。该计划每年评选出不超过3篇在系统软件领域做出杰出创新研究工作的博士学位论文，对论文完成人给予表彰和奖励。评选采用推荐-评审制，由单位推荐或CCF会员联名推荐候选博士学位论文，专业委员会组建的计划评审委员会组织评审，评选过程具体包括推荐、资格审查、初评、终评四个阶段。获奖论文简介：IFDS信息流分析框架的优化方法信息流分析技术是检测软件安全缺陷的基础分析方法，其中基于IFDS分析框架的信息流分析由于其高精度得到广泛应用。但IFDS分析算法复杂度高，往往无法在有限的计算资源下分析复杂的应用程序。该论文针对IFDS框架提出了一系列优化方法：包括1)针对经典编程语言特性(泛型、模块系统)建模来优化IFDS框架底层技术——指针分析，实现加速1个数量级;2)提出了基于CFL的域敏感表示以减少数据流值的数量，实现加速2个数量级;3)利用内存局部性设计高效垃圾回收机制并通过外存计算对内存扩容，将算法的内存消耗减少1个数量级。 北京中科天齐信息技术有限公司于2018年由李炼博士创立，研发软件安全检测系列产品。团队凭借多年在程序分析领域的技术积累，致力打造安全漏洞治理领域新生态的高新技术企业。目前，企业已获得高新技术企业证书，并取得ISO9001质量管理体系认证及ISO27001信息安全管理体系认证。公司致力于打造专业技术服务团队，解决新技术带来的安全挑战，帮助软件全面提升安全能力。产品中科天齐软件源代码安全缺陷检测平台(WuKong)目前已广泛应用于国企央企、头部IT企业、政府及第三方软件测评机构等多个行业，提供数字化转型支撑与安全保障。

近日，第33届The ACM SIGSOFT International Symposium on Software Testing and Analysis (ISSTA) 在奥地利维也纳举办。ISSTA是软件工程四大会之一，被评级为CCF-A。中科天齐团队成员施程航和李昊峰前往参会。在会上，施程航展示了题为“Better Not Together: Staged Solving for Context-Free Language Reachability “的研究成果。该工作针对应用广泛的程序分析框架——CFL可达性提出了一种名为”staged solving“的求解方法，相比现有方法可大大提升CFL可达性的求解效率，最高加速比接近三个数量级。在场很多研究者对该工作表达了浓厚的兴趣，团队成员相应回答了他们的问题。该工作的主要思路是将上下文无关文法通过语法分解为一个更小的括号匹配文法和正则文法，接着提出了多阶段求解(staged solving)在两个阶段分别求解两个文法对应的可达性。通过利用文法的特性，该工作分别提出了高效的可达性求解算法。在实验评估中，该方法的加速比可达约三个数量级。 ISSTA 是专注于软件测试与分析的高影响力会议。从 2023 年起，ISSTA 采用了两阶段投稿流程。对于在第一轮中被评为 "Major Revision"(大修) 的论文，作者可根据评审意见修改论文后，提交到会议的第二轮，由同一组审稿人评审。2024 年，ISSTA 共收到 694 篇投稿，最终接收 143 篇，其中第一轮接收 106 篇，第二轮接收 37 篇，总接收率为 20.61%。

近日，OOPSLA 2024即面向对象编程系统、语言及应用大会在美国帕塞迪纳举行，中科天齐团队成员李昊峰博士在会上展示了题为《Boosting the Performance of Alias-Aware IFDS Analysis with CFL-based Environment Transformers》的研究成果。该研究对经典IFDS算法进行优化，能够大幅减少数据流值的数量，该技术平均可以加速两个数量级，同时可以提升分析精度。信息流分析技术是检测软件安全缺陷的基础分析方法，其中基于IFDS分析框架的信息流分析由于其高精度得到广泛应用，该分析已经实现到主流的分析和编译框架中(如：WALA、Soot、LLVM等)。但IFDS分析算法由于其复杂度高，往往无法在有限的计算资源下分析复杂的应用程序。这篇文章提出了将基于访问路径的域敏感表示转换成基于CFL的表示以减少数据流值的数量，从而将传统的IFDS问题转化成IDE问题，通过定义Field CFL并实现高效的求解算法维护域敏感，能够平均加速2个数量级。 OOPSLA是一个专注于面向对象编程系统、语言及应用的顶尖学术盛会，是中国计算机学会(CCF)推荐的程序设计语言领域三个A类学术会议之一。每年，它将来自学术界和工业界的研究人员和从业人员聚集在一起，讨论编程语言领域的最新理论、技术和应用。