根据《中国发明协会关于2025年度“发明创业奖”评选工作的通知》(中发协字〔2025〕6号)要求，现对我单位拟提名2025年度“发明创业奖成果奖”的项目“中科天齐软件源代码安全缺陷检测平台”进行公示，公示期自2025年4月22日至2025年4月28日(7个自然日)。提名单位：北京中科天齐信息技术有限公司项目名称：中科天齐软件源代码安全缺陷检测平台完成人及完成单位：李炼(北京中科天齐信息技术有限公司)提名等级：发明创业奖成果奖项目简介：中科天齐软件源代码安全缺陷检测平台(WuKong)为北京中科天齐信息技术有限公司自有知识产权产品，是一款自主可控的国产化静态代码安全测试软件，可用于检测多种主流语言代码的运行时缺陷、安全漏洞及编码标准规范，可根据需求进行定制化。兼容麒麟、鲲鹏等多种国产化环境。可直接整合到开发流程中，与代码管理仓库，缺陷管理系统进行对接，在不增加研发成本的前提下帮助开发人员降低交付不安全代码的风险。知识产权：序号 专利名称 专利号 法律状况  1基于变量关联规则的缓冲区溢出检测方法 ZL202010012878.2 授权 2一种TensorFlow程序漏洞检测方法、装置及电子设备 ZL202110606581.3 授权公示期内，任何单位和个人对公示的项目有异议，可以以书面形式向北京中科天齐信息技术有限公司进行反映，并提供必要的证明材料。逾期或匿名等不按要求提出的异议不予受理。我单位按有关规定对异议提出者的相关信息予以保护。通讯地址：北京市海淀区知春路甲48号盈都大厦C座三单元10D邮政编码：100086联系电话：17319253265电子邮箱：liuchaofan@tianqisoft.cn北京中科天齐信息技术有限公司 2025年4月22日

中科天齐安全研究团队在Apache Roller开源博客平台发现一个重大高危漏洞，该漏洞可能允许恶意行为者在更改密码后保留未经授权的访问。中科天齐团队在发现漏洞后及时上报给Apache Roller项目维护团队，目前漏洞已被修复，团队成员孟海宁因发现并报告此漏洞获得致谢。该漏洞一经发现便迅速引发了国际网络安全领域媒体的广泛关注与热议。鉴于其潜在风险，我们郑重提醒广大用户，请务必高度重视并及时进行产品升级修复。Apache Roller 是一个多用户博客平台，可以支持数千个博客和用户。它为群组博客提供对主题和模板、内容管理系统、集成搜索和三个权限级别(所有者、编辑者和起草者)的支持。关于漏洞 CVE-2025-24859该漏洞编号为 CVE-2025-24859，CVSS评分为最高危险等级的10.0，是 Apache Roller 近年来出现的第一个严重性漏洞。该漏洞与会话过期时间不足有关，当系统或应用程序在更改密码后无法使现有用户的活动会话失效时，就会出现此漏洞。攻击者可以利用此类会话管理漏洞以多种方式获利。例如，攻击者如果之前通过会话劫持攻击等手段获得了用户会话的访问权限，即使受害者更改了密码，他们仍然可以保持这种未经授权的访问。因为密码更改无效，他们将能够维持对受影响系统的持久性。受影响版本Roller 6.1.4 之前的所有版本。修复方案Apache Roller开源博客平台开发团队已在 6.1.5 版本中修复该漏洞，通过实施集中式会话管理机制，确保密码修改或用户禁用操作会使所有活动会话立即失效。关于中科天齐 北京中科天齐信息技术有限公司由李炼博士于2018年创立。公司安全研究团队专注于程序分析与软件安全领域的前沿研究和产品开发。截至目前，团队已为开源社区发现并报告了数百个严重缺陷，并获得了100多个CVE编号。公司旗下的中科天齐软件源代码安全缺陷检测平台，能够高效检测软件源代码中的运行时缺陷、安全漏洞以及编码标准规范问题。该平台凭借其卓越的性能和精准的检测能力，已广泛应用于IT企业、政府机关、军工企业以及科研院所等多个领域，为软件安全保驾护航。

DevSecOps将开发(Dev)、安全(Sec)和运维(Ops)紧密结合，并将安全检查贯穿于软件开发生命周期(SDLC)的各个阶段。这种方法解决了开发、安全和运维团队之间的脱节问题，能够保障持续集成和持续交付(CI/CD)管道的安全，并生产高质量的软件。随着网络攻击的增加，DevSecOps已经成为一种必要，而不仅仅是一种选择。传统的安全方法由于依赖手动流程，速度较慢，难以应对快速变化的数字环境中的复杂网络威胁。而AI的融入可以显著提升DevSecOps的安全性和效率。当前，AI主要应用于以下：自动化威胁检测：AI工具通过分析代码和提交历史记录来识别安全漏洞和异常行为。这些工具能够持续学习和改进，利用机器学习(ML)算法进行实时模式分析，简化了潜在恶意行为的识别过程。早期识别漏洞意味着开发人员可以立即处理这些问题，显著减少解决时间。改进代码审查：AI可以协助进行自动化代码审查，将代码与安全最佳实践进行对比检查。它能够理解代码的上下文和含义，从而检测出可能被人类审查者或传统静态分析工具遗漏的复杂安全漏洞。自动化安全测试：企业可以利用AI驱动的工具执行静态应用安全测试(SAST)和动态应用安全测试(DAST)，在应用程序部署之前识别安全漏洞。实时监控：AI可以利用ML算法近乎实时地监控应用程序和环境，检测并触发可能表明安全事件的可疑行为警报。随着威胁形势的不断演变，这种监控和管理威胁的能力使得企业能够采取新的主动式事件响应和缓解方法。预测分析：通过分析现有数据和趋势，AI利用预测分析来预测未来的安全威胁。企业可以利用这种前瞻性来加强防御，防止新的攻击向量出现。简化合规：AI可以自动执行安全策略和法规，贯穿整个开发周期。这减少了人为错误，确保始终遵守标准。挑战和限制尽管AI为DevSecOps提供了巨大的潜力，但也存在一些挑战，包括需要可靠的数据来训练模型。此外，AI本身可能会成为安全目标，因此公司必须保持警惕，定期检查其AI系统以确保其效率和防御新风险。DevSecOps中的AI将AI与DevSecOps集成是软件交付管道安全的下一个趋势。AI在威胁检测、预测分析、实时监控和持续合规等方面的应用，将彻底改变SDLC各阶段的安全性。通过在DevSecOps管道中采用AI，组织可以在快速变化的环境中建立强大的安全态势，同时保持竞争优势，快速部署安全的应用程序。AI在DevSecOps中的集成可以解决实际问题，如：勒索软件攻击：AI工具可以观察异常活动，识别表明勒索软件攻击的行为，帮助组织在数据加密之前采取主动措施。零日漏洞检测：使用ML算法，AI可以分析源代码中的模式，预测未知的零日漏洞，从而减少对尚未知晓的威胁的暴露。云设置错误配置：AI可以帮助确定云配置设置，防止潜在的安全威胁和漏洞。 合规自动化：利用AI自动化符合通用数据保护条例(GDPR)或支付卡行业数据安全标准(PCI DSS)等标准的流程。

2024年11月15日-17日，2024 CCF中国软件大会(2024 CCF ChinaSoft)在西安举行。会议期间，中国计算机学会系统软件专业委员会对2024年CCF系统软件专委博士学位论文激励计划获奖者进行颁奖。经过评审，本年度全国共2篇博士学位论文获奖，4篇博士学位论文获得提名，中科天齐团队成员李昊峰博士的学位论文《IFDS信息流分析框架的优化方法》获提名奖。CCF系统软件专委博士学位论文激励计划由中国计算机学会系统软件专业委员会设立，旨在进一步推动系统软件领域高水平创新人才培养工作。该计划每年评选出不超过3篇在系统软件领域做出杰出创新研究工作的博士学位论文，对论文完成人给予表彰和奖励。评选采用推荐-评审制，由单位推荐或CCF会员联名推荐候选博士学位论文，专业委员会组建的计划评审委员会组织评审，评选过程具体包括推荐、资格审查、初评、终评四个阶段。获奖论文简介：IFDS信息流分析框架的优化方法信息流分析技术是检测软件安全缺陷的基础分析方法，其中基于IFDS分析框架的信息流分析由于其高精度得到广泛应用。但IFDS分析算法复杂度高，往往无法在有限的计算资源下分析复杂的应用程序。该论文针对IFDS框架提出了一系列优化方法：包括1)针对经典编程语言特性(泛型、模块系统)建模来优化IFDS框架底层技术——指针分析，实现加速1个数量级;2)提出了基于CFL的域敏感表示以减少数据流值的数量，实现加速2个数量级;3)利用内存局部性设计高效垃圾回收机制并通过外存计算对内存扩容，将算法的内存消耗减少1个数量级。 北京中科天齐信息技术有限公司于2018年由李炼博士创立，研发软件安全检测系列产品。团队凭借多年在程序分析领域的技术积累，致力打造安全漏洞治理领域新生态的高新技术企业。目前，企业已获得高新技术企业证书，并取得ISO9001质量管理体系认证及ISO27001信息安全管理体系认证。公司致力于打造专业技术服务团队，解决新技术带来的安全挑战，帮助软件全面提升安全能力。产品中科天齐软件源代码安全缺陷检测平台(WuKong)目前已广泛应用于国企央企、头部IT企业、政府及第三方软件测评机构等多个行业，提供数字化转型支撑与安全保障。

近日，第33届The ACM SIGSOFT International Symposium on Software Testing and Analysis (ISSTA) 在奥地利维也纳举办。ISSTA是软件工程四大会之一，被评级为CCF-A。中科天齐团队成员施程航和李昊峰前往参会。在会上，施程航展示了题为“Better Not Together: Staged Solving for Context-Free Language Reachability “的研究成果。该工作针对应用广泛的程序分析框架——CFL可达性提出了一种名为”staged solving“的求解方法，相比现有方法可大大提升CFL可达性的求解效率，最高加速比接近三个数量级。在场很多研究者对该工作表达了浓厚的兴趣，团队成员相应回答了他们的问题。该工作的主要思路是将上下文无关文法通过语法分解为一个更小的括号匹配文法和正则文法，接着提出了多阶段求解(staged solving)在两个阶段分别求解两个文法对应的可达性。通过利用文法的特性，该工作分别提出了高效的可达性求解算法。在实验评估中，该方法的加速比可达约三个数量级。 ISSTA 是专注于软件测试与分析的高影响力会议。从 2023 年起，ISSTA 采用了两阶段投稿流程。对于在第一轮中被评为 "Major Revision"(大修) 的论文，作者可根据评审意见修改论文后，提交到会议的第二轮，由同一组审稿人评审。2024 年，ISSTA 共收到 694 篇投稿，最终接收 143 篇，其中第一轮接收 106 篇，第二轮接收 37 篇，总接收率为 20.61%。

近日，OOPSLA 2024即面向对象编程系统、语言及应用大会在美国帕塞迪纳举行，中科天齐团队成员李昊峰博士在会上展示了题为《Boosting the Performance of Alias-Aware IFDS Analysis with CFL-based Environment Transformers》的研究成果。该研究对经典IFDS算法进行优化，能够大幅减少数据流值的数量，该技术平均可以加速两个数量级，同时可以提升分析精度。信息流分析技术是检测软件安全缺陷的基础分析方法，其中基于IFDS分析框架的信息流分析由于其高精度得到广泛应用，该分析已经实现到主流的分析和编译框架中(如：WALA、Soot、LLVM等)。但IFDS分析算法由于其复杂度高，往往无法在有限的计算资源下分析复杂的应用程序。这篇文章提出了将基于访问路径的域敏感表示转换成基于CFL的表示以减少数据流值的数量，从而将传统的IFDS问题转化成IDE问题，通过定义Field CFL并实现高效的求解算法维护域敏感，能够平均加速2个数量级。 OOPSLA是一个专注于面向对象编程系统、语言及应用的顶尖学术盛会，是中国计算机学会(CCF)推荐的程序设计语言领域三个A类学术会议之一。每年，它将来自学术界和工业界的研究人员和从业人员聚集在一起，讨论编程语言领域的最新理论、技术和应用。

近日，ACM CCS24即第31届ACM计算机和通信安全大会在美国盐湖城举行，中科天齐团队成员黄永恒博士在会上展示了题为《Detecting Broken Object-Level Authorization Vulnerabilities in Database-Backed Applications》的研究成果。该研究针对数据库支持的应用程序中常见的Broken Object-Level Authorization (BOLA)漏洞展开了深入分析，填补了对该类漏洞系统性研究的空白。研究团队通过分析101个开源应用中的实际BOLA漏洞，总结了数据库支持应用程序中最常见的四种对象级别授权模型。这一分析为开发全新的自动化检测工具BolaRay奠定了基础。BolaRay结合SQL分析和静态分析，自动推断应用程序中使用的授权模型，并验证这些模型是否正确实施了访问控制检查。在对25个流行的数据库支持应用程序进行测试时，BolaRay成功发现了193个真实漏洞，其中178个为首次报告，误报率为21.86%。迄今为止，研究团队已向相关项目的维护者报告了所有新发现的漏洞，155个漏洞已被确认，并且已有52个漏洞获得了CVE编号。ACM CCS与IEEE S&P、USENIX Security和NDSS并称为信息安全领域的四大顶级国际学术会议，同时也是中国计算机学会推荐的CCF-A类会议。该会议吸引了来自全球的顶尖研究人员与专家，探讨网络安全领域的前沿问题与创新技术，是展示国际最前沿研究成果的重要平台。2024年，ACM CCS的录取率为16.9%(331/1964)，反映了网络安全领域的最高学术水准。 此次研究团队的研究成果进一步推动了对BOLA漏洞的深度理解和自动化检测技术的进展，展示了研究团队在网络安全领域的领先研究实力。

近日，第三届OpenHarmony技术大会在上海成功举行。此次大会是举办至今规模最大的鸿蒙相关的技术大会，会上邀请了来自全球的开源操作系统技术领袖、前沿实践专家、广大开发者以及学术界大咖，面向全球展示了OpenHarmony的最新技术、生态、人才进展与行业实践。作为应用软件安全分析领域资深专家，北京中科天齐信息技术有限公司董事长李炼博士受邀参加此次大会，并发表主题为《高层语义的自适应分析方法与工具》的演讲，同业界人员共同探讨高质量OpenHarmony应用的开发与生态建设。李炼博士指出，应用层的大部分安全性问题以及性能和功能问题都需要深入理解高层的应用逻辑语义，例如检测授权以及认证等相关安全问题需要深入理解应用的认证以及授权机制。但这些高层语义和应用具体实现密切相关，往往无法进行通用的定义。针对上述问题，李炼博士进一步探讨了如何通过自动半自动的方法来自动推断高层应用语义、以及如何严格地表述高层语义信息。并进一步介绍了如何在WuKong中实现高效便于扩展的高层语义分析工具：通过声明式的方法来定义高层语义，并扩展现有分析工具来实现对自定义语义的自动检测，从而兼顾分析工具的可扩展性与效率和精度。他指出，通过自动或半自动高层语义推断以及自适应分析方法与工具，可以解决灵活多变的应用层逻辑问题。李炼博士是中国科学院计算技术研究所研究员，常年从事程序分析与软件安全方向研究，成果发表于领域内顶级会议及期刊包括SOSP、USENIX SECURITY、CCS、OOPSLA、NDSS、FSE、TSE、ASE、ISSTA上，累计50余篇，获得ASE2019杰出论文奖以及CCS2022最佳论文提名。获得中国科学院优秀导师奖(2020，2021)，中国科学院领雁奖(2021，2022)。承担了包括国家重点研发计划(课题负责人)，国家重点基金(子课题负责人)，中科院STS项目等多个项目。研发的静态分析工具WuKong已经产业化，广泛应用于包括多个IT企业、国家部委在内的多家单位，为开源社区发现数百个严重缺陷，获得100+CVE。关于中科天齐 北京中科天齐信息技术有限公司(简称中科天齐)由李炼博士创立，以自主研究成果中科天齐软件源代码安全缺陷检测平台为主打产品，团队凭借多年在程序分析领域的技术积累，致力打造应用软件安全漏洞治理领域新生态的高新技术企业。中科天齐积极拥抱开源事业，不断探索开源生态下的应用软件安全分析策略，为OpenHarmony生态的原生安全建设贡献力量。

在软件行业中，多达 38% 的 IT 和信息安全专业人员估计，他们 21% 到 40% 的代码包含漏洞，13% 的人已经在大多数 (61-80%) 代码中发现了漏洞。如何在这些缺陷和漏洞问题成为威胁之前发现它们?常见的应用程序安全测试方法：SAST 和 DAST起到很大作用。什么是 SAST(静态应用程序安全测试)?SAST(静态应用程序安全测试)是一种自动的白盒测试，用于检查应用程序代码在其静态(非运行)状态下的潜在漏洞和已知缺陷。在白盒测试中，工具可以完全访问应用程序代码。SAST 通过预定义检测规则，可以检测源代码并标记检测到的问题的位置。SAST 可以帮助识别缓冲区溢出、暴露的代码密钥、输入验证错误、不安全的基础设施配置和编码规范等问题。SAST 的主要优势在于，安全团队在代码部署之前将其作为安全 CI/CD 管道的一部分运行。理想情况下，团队在开发人员提交代码后立即执行这些操作，以确保他们在软件开发生命周期(SDLC)的早期解决安全问题。此外，团队可以在进行全面的漏洞扫描或渗透测试之前，将SAST应用于部分应用程序。什么是 DAST(动态应用程序安全测试)?DAST(动态应用程序安全测试)是一种黑盒测试(工具无法访问应用程序源代码)，在应用程序运行时检查是否存在漏洞和缺陷。DAST 工具模拟对系统及其环境的攻击，分析系统的响应，并为开发人员提供有关其应用程序在面对实际攻击场景时的行为方式的见解。通常，安全团队在SDLC的后期运行DAST，传统上是在部署到测试环境之前在CI/CD管道中执行。DAST优势是识别和标记运行时漏洞，这些漏洞在应用程序代码中可能不是缺陷，但在应用程序运行时可能会变成潜在的漏洞。例如，DAST 可以帮助发现 Web 应用程序中的 XSS(跨站点脚本)和 SQL 注入缺陷，以及服务器端的错误配置和身份验证问题。DAST 对于依赖互联网协议的应用程序很有效果，因为这些通常是恶意行为者的目标。SAST与DAST:主要区别实施阶段：SAST在SDLC的前期使用，理想情况下是在每次代码提交时进行检测。DAST在将应用程序部署到测试环境并运行之后。实施前提：SAST可以直接检测源代码，不需要运行程序，但需要支持检测相关的编码语言和框架，DAST需要将程序部署并可以执行。测试方法：SAST从内向外检测代码，DAST从外部模仿攻击者进行检测。检测缺陷类型：SAST检测已知和未知漏洞，DAST检测运行中导致的漏洞。何时使用 SAST开发团队通过在 SDLC 的早期使用 SAST进行检测。在代码编译以进行测试之前，提交或预提交阶段有助于及早发现和解决与安全相关的错误和问题。将 SAST 整合到 CI/CD 管道和DevSecOps流程中，可以通过自动化进行检测来提高生产力。SAST 持续监控进入代码库的每一段代码是否存在不良编码实践，并根据OWASP Top 10、CWE TOP 25等测试一系列漏洞。使用SAST的另一种情况是涉及到数据隐私的合规性和法规要求，如支付卡行业数据安全标准 (PCI DSS)，SAST 工具可用于识别代码和配置中的敏感数据，确保其得到适当保护和处理，并符合相关法规。何时使用 DAST当可执行应用程序在响应多种输入的动态环境中运行时，DAST就会发挥作用。安全团队利用DAST查明应用程序后端中影响运行时功能的错误配置，以及由集成问题引起的漏洞。此外，DAST有助于测试应用程序的API和Web服务，并评估其运行的基础设施的安全状况。由于测试需要完全运行且可执行的应用程序，因此最好在将应用程序部署到预生产测试环境后运行 DAST 。当作为 CI/CD 管道的一部分集成时，DAST 可以成为运行时应用程序和基础设施安全的全天候监控工具，保护应用程序免受 XSS 和 SQL 注入攻击。 SAST 和 DAST 并不相互排斥，而是在SDLC的不同阶段在应用程序安全测试策略中扮演两个不同的角色。在 DevSecOps 管道中使用 SAST 和 DAST 可以更全面地了解应用程序的安全状况。这些工具相互补充并解决彼此的限制，从而显著地增加了安全性测试的覆盖率，最终降低了应用程序欺诈的风险。WuKong静态代码检测工具是一款自主可控的国产化静态代码安全检测软件，获工信部首届“鼎信杯”信创产品典型应用软件奖。在研发技术上采用自主专利技术的程序分析引擎，结合深度指针分析技术检测深层次安全漏洞减少漏报，通过人工智能和机器学习方法指导代码分析和验证分析结果，提高测试准确率，使用高效程序切片技术进一步提高测试效率。可检测代码运行时缺陷、安全漏洞及编码标准规范。