2024 年 10 月 26 日，第 19 届中国 Linux 内核开发者大会于华中科技大学成功举办。会上，华中科技大学副校长高亮宣布，为进一步推动开源技术在学校的落地和发展，持续为开源事业提供人才和技术支持，将正式筹建华中科技大学开源创新研究院。

在演讲分享环节，华中科技大学网络空间安全学院执行院长邹德清以“面向大规模开源软件的智能安全检测研究”为题，主要从运用大模型进行智能漏洞分析和对克隆漏洞的检测两个方面进行了介绍。针对当下人工检测漏洞中的种种缺陷，他和团队成员提出开发一种面向大规模复杂开源软件的代码漏洞检测大模型。

在此背景下，CSDN 专访了邹德清教授，旨在深入探讨代码漏洞检测大模型目前取得的研究进展和成果，并了解华中科技大学在开源创新及软件安全领域的最新进展。

一、筹备开源创新研究院，构建自主开源生态

CSDN：请问华科在筹备的开源创新研究院目前进展如何，预计何时正式成立？开源创新研究院成立的初衷和目标是什么？

邹德清：开源目前已成为全球科技进步至关重要的创新渠道，构建开源创新高地已成为当今时代的迫切需求。为响应国家倡导，华科积极投身于开源创新研究院的建设工作，旨在推动开源平台的搭建、培育关键开源技术、推广开源文化、提升开源教育水平，构建开源人才培育体系，推进自主开源生态的构建。

目前，开源创新研究院已经通过各个学院党政联席会审批，并上报到学校党政联席会，预计于 12 月份召开成立大会正式宣告成立。

CSDN：开源创新研究院的主要科研方向有哪些？在这些方向中，哪些领域是华科具有独特优势或已经取得显著成果的？

邹德清：研究院主要科研方向包括九大领域：开源软件供应链安全治理、开源人工智能大模型、开源基础软硬件安全、开源智能制造、开源脑机接口解码算法、电力信息物理系统开源仿真分析计算平台、基于 RISC-V 开源指令集架构的后量子密码 SoC 芯片、开源智能协同设计软件以及开源光学仿真设计软件。

其中，团队提出的开源软件漏洞智能检测系统 VulDeePecker，发表在安全四大顶会之一 NDSS 2018，是开源软件漏洞细粒度智能检测的开创性工作。团队开展开源软件智能检测与安全防护平台建设，为 12 个代表性国产化开源系统检测并修复漏洞 249 个，获得社会广泛关注。

二、开源供应链漏洞挖掘和检测的新方向

CSDN：基于您和团队创建的软件安全智能检测与防护平台，能否谈谈当前软件安全面临的主要挑战，例如大规模开源软件漏洞检测的重要性？

邹德清：软件供应链生命周期长、环节复杂、暴露面多，考虑开源软件广泛应用的大背景，软件安全面临着零日漏洞广泛存在、依赖链复杂、漏洞传播迅速、恶意代码注入和混淆、合规性法律法规等诸多挑战。

大规模开源软件漏洞检测可以在漏洞被广泛利用之前发现并修复，减少系统被攻击的可能性，主要表现在三个方面：其一，开源软件通常由众多项目和组件构成，单一的检测难以发现所有潜在漏洞；其二，大规模检测通常结合自动化工具和流程，可以显著提高漏洞检测的效率；其三，在安全事件频发的背景下，大规模检测能够帮助组织快速识别和修复漏洞，缩短漏洞暴露的时间窗口，降低被攻击的风险。

CSDN：软件安全智能检测与防护平台的创建，是希望解决哪些具体问题？

邹德清：正如上一个问题中所说，我国软件供应链安全审查领域尚处于起步阶段，无法快速检测、预警和响应软件供应链中存在的安全风险。针对这些问题，软件安全智能检测与防护平台中涉及全方面的漏洞扫描方案，并针对检出漏洞，提供全方位的漏洞修复策略。此外，针对软件漏洞以外的其他安全问题，也能够提供恶意代码投毒检测、代码质量检测、代码内容检测和代码版权检测等功能，为开源软件供应链提供全方位的安全保障。

基于该平台，我们承担了中央网信办网络空间安全治理重大专项国家重点研发计划项目，开展可信开源代码库建设，提供海量、优质、具备自主可控性的开源代码库。该项目由华中科技大学牵头，武汉金银湖实验室、国家计算机网络与信息安全管理中心（CNCERT）、重庆开源共创科技有限公司（GitCode）和中国移动通信有限公司参与，五家单位强强联合，优势互补。

CSDN：平台在代码漏洞检测领域的大模型有哪些核心技术和创新点？比如您此前在主旨演讲中提到的，自动生成精准的漏洞特征、高准确率识别漏洞类型等技术，具体是如何实现的？

邹德清：平台通过依赖分析和路径分析实现程序切片，自动生成精准的漏洞特征。首先，通过后向切片技术追溯特定变量或程序点，识别漏洞根源和未被恰当处理的数据流动；其次，通过前向切片技术分析从漏洞点出发的所有可能执行路径，确定漏洞的影响范围。同时，结合机器学习和数据挖掘技术，平台会对大量漏洞实例进行分析，自动提取常见的漏洞特征。

另外，通过搜集、整理漏洞代码数据，平台构建了大规模高质量漏洞代码数据库，从而实现高准确率识别漏洞类型。在实际应用中，通过将静态分析工具与人工智能模型相结合，达到较高的精确度，自动检测并识别出软件中的漏洞及类型，显著提高了漏洞检测的有效性。

三、应对软件安全挑战，深化开源生态建设

CSDN：华中科技大学网络空间安全学院在开源领域有哪些重要贡献？特别是在 Linux 内核社区，学院有哪些研究成果或项目合作？

邹德清：在开源生态建设方面，学院联合国内知名高校和企业共同发起了天工开物开源基金会，推动开源技术和国产工业软件的创新发展；学院建设的开源镜像站同步了包含 openKylin、openEuler 等 44 个开源软件镜像，成为国内开源生态中的重要基础设施。此外，学院师生在漏洞修补、性能优化、功能扩展等方面积极参与，涉及多个国产操作系统和物联网平台。

在 Linux 内核社区，学院的慕冬亮老师获得 2023 年 Google Open Source Peer Bonus，以表彰其对于 Linux 内核的漏洞分析、修复与贡献。开源俱乐部在 Linux 主线内核提交贡献 140 余项，内核贡献传播至 OpenEuler、OpenAnolis、OpenCloudOS 等发行版内核。

CSDN：对于开源创新研究院和软件安全智能检测平台，以及如何推动开源社区安全、提升软件安全检测能力等方面，您认为还有哪些挑战？

邹德清：尽管开源创新研究院和软件安全智能检测平台在推动开源社区安全和提升软件安全检测能力方面取得了显著进展，但仍面临诸多挑战：

首先是动态性和复杂性，当前开源生态系统项目频繁更新和迭代，检测和评估模型需要能够实时更新和适应变化，不同项目和社区缺乏统一的评估标准和方法；其次，处理海量开源项目需要巨大的计算资源，现有的计算资源和算法可能无法满足大规模实时评估的需求；最后，第三方组件的广泛使用，包括依赖导入和代码片段重用，给软件带来各种潜在的威胁，需要建立可靠的依赖追踪和验证机制。