面向開源軟件的安全風(fēng)險(xiǎn)分析與防范

開源軟件的發(fā)展越迅猛，其所帶來的安全風(fēng)險(xiǎn)越不容忽視。然而現(xiàn)有針對(duì)開源軟件安全風(fēng)險(xiǎn)的研究多從宏觀管理側(cè)展開，其對(duì)應(yīng)的防范措施也不包含技術(shù)面防范措施，此外，針對(duì)開源軟件在關(guān)鍵信息基礎(chǔ)設(shè)施這一重要應(yīng)用領(lǐng)域的風(fēng)險(xiǎn)防范研究也有待補(bǔ)充。結(jié)合開源軟件自身特性和發(fā)展歷程，綜合開源軟件在各個(gè)場(chǎng)景的應(yīng)用來研究分析其對(duì)現(xiàn)代社會(huì)、技術(shù)行業(yè)的影響，總結(jié)梳理開源軟件帶來的安全風(fēng)險(xiǎn)并提出應(yīng)對(duì)措施，特別是從監(jiān)管側(cè)出發(fā)，開展關(guān)鍵信息基礎(chǔ)設(shè)施中開源軟件的安全風(fēng)險(xiǎn)防范研究，并依靠現(xiàn)有開源平臺(tái)給出技術(shù)側(cè)風(fēng)險(xiǎn)防范研究思路，對(duì)保障我國開源軟件安全、網(wǎng)絡(luò)空間安全乃至國家安全具有重要意義。1開源軟件風(fēng)險(xiǎn)分析隨著開源軟件應(yīng)用范圍逐漸擴(kuò)大，特別是在關(guān)鍵信息基礎(chǔ)設(shè)施中被廣泛采用，開源軟件所帶來的安全風(fēng)險(xiǎn)也日益嚴(yán)峻，大致可分為以下幾個(gè)方面。1.1供應(yīng)鏈安全風(fēng)險(xiǎn)當(dāng)下，開源軟件供應(yīng)鏈中的主要角色為受西方把控的商業(yè)科技巨頭、開源基金會(huì)、開源社區(qū)及代碼托管平臺(tái)，其中商業(yè)科技巨頭和開源基金會(huì)大多把持著開源社區(qū)及代碼托管平臺(tái)，在開源軟件供應(yīng)鏈中占據(jù)龍頭地位。我國開源生態(tài)整體水平較弱，國內(nèi)廠商出于成本、安全、質(zhì)量、效率的綜合考慮，大多直接參與到受國外主導(dǎo)，尤其是受美國主導(dǎo)的成熟開源生態(tài)中，但國外開源軟件的監(jiān)管受其主權(quán)影響往往會(huì)帶來不可控的供應(yīng)鏈安全風(fēng)險(xiǎn)。在開源基金會(huì)方面，Apache基金會(huì)明確表明遵循美國出口管制條例，Mozilla基金會(huì)則表示其司法管轄權(quán)歸屬美國加利福尼亞州，RISC-V基金會(huì)也聲明其司法管轄權(quán)在美國特拉華州；在開源平臺(tái)方面，GitHub、SourceForge及GoogleCode等代碼托管平臺(tái)均明確遵守美國出口管制條例，且司法管轄權(quán)在美國加利福尼亞州。受美國政府影響，2020年8月，Docker宣布被美國列入實(shí)體清單的個(gè)人和組織無法使用Docker旗下的服務(wù)，如DockerEE和DockerHub。綜上，在全球開源軟件供應(yīng)鏈中自主性較差、依附性較強(qiáng)、處于弱勢(shì)地位的國家，一旦供應(yīng)鏈“命門”被別人掌握，隨時(shí)可被斷供制裁，造成重大安全風(fēng)險(xiǎn)。1.2開源軟件源代碼安全風(fēng)險(xiǎn)開源軟件在廣泛普及的同時(shí)，其源代碼自身帶來的安全風(fēng)險(xiǎn)影響也隨之?dāng)U大，可總結(jié)為以下3個(gè)方面。1.2.1開源軟件代碼安全開發(fā)規(guī)范應(yīng)用不足，安全漏洞數(shù)量居高不下開源軟件具有開放、低成本、自由參與、廣泛傳播等特性，在開源軟件的更新迭代過程中，不同時(shí)期參與的開發(fā)群體，其自身技術(shù)能力和安全意識(shí)參差不齊，加上開源平臺(tái)或社區(qū)并不對(duì)開源代碼的安全性進(jìn)行審核，因此開源軟件源代碼往往更容易爆發(fā)漏洞。據(jù)奇安信《2021中國軟件供應(yīng)鏈安全分析報(bào)告》，奇安信代碼安全實(shí)驗(yàn)室在2020年對(duì)2001個(gè)自主開發(fā)的軟件源代碼進(jìn)行了安全檢測(cè)，檢測(cè)結(jié)果顯示源代碼的安全風(fēng)險(xiǎn)點(diǎn)密度約為10個(gè)/千行，高危風(fēng)險(xiǎn)點(diǎn)密度約為1個(gè)/千行；同期對(duì)1300多個(gè)開源軟件源代碼所進(jìn)行的檢測(cè)結(jié)果顯示，開源軟件整體風(fēng)險(xiǎn)點(diǎn)密度為15個(gè)/千行，高危風(fēng)險(xiǎn)點(diǎn)密度為1個(gè)/千行。在高危風(fēng)險(xiǎn)點(diǎn)密度大致相等的情況下，開源軟件的源代碼風(fēng)險(xiǎn)點(diǎn)密度更高，更容易爆發(fā)安全漏洞。1.2.2開源代碼漏洞影響范圍和危害難以估量由于開源軟件在眾多行業(yè)領(lǐng)域內(nèi)廣泛應(yīng)用，不同開源軟件形成你中有我、我中有你的復(fù)雜關(guān)系，導(dǎo)致開源軟件的使用比想象中更廣泛，一旦爆發(fā)漏洞，其造成的危害遠(yuǎn)超人們預(yù)期。有研究表明，一半以上的企業(yè)、政府機(jī)構(gòu)、非營利組織等使用的開源組件包含漏洞。據(jù)奇安信報(bào)告，在其2020年調(diào)研的涉及公共、金融、電信、能源等重要行業(yè)的2557個(gè)軟件中，均有開源軟件的存在。因此，當(dāng)某一個(gè)開源軟件或組件爆發(fā)漏洞時(shí)，其覆蓋面往往超過人們預(yù)期。事實(shí)上，前述2557個(gè)軟件中，約90%的軟件存在已知的開源軟件漏洞，約80%的軟件存在已知的高危漏洞，約70%的軟件存在已知的超危漏洞。2014年4月，開源組件OpenSSL被發(fā)現(xiàn)存在心臟滴血漏洞（Heartbleed），且該漏洞至少從2012年5月所發(fā)布的版本就已經(jīng)存在，攻擊者可利用該漏洞獲取可能包含了證書私鑰、用戶名、用戶密碼、用戶郵箱等敏感信息的數(shù)據(jù)，在近兩年的時(shí)間內(nèi)，該漏洞造成的影響根本難以估量。2021年12月，開源組件ApacheLog4j2被發(fā)現(xiàn)存在遠(yuǎn)程代碼執(zhí)行高危漏洞（Log4Shell），由于ApacheLog4j2組件性能好、利用門檻低，該漏洞短時(shí)間內(nèi)席卷全球，Steam、推特、亞馬遜等多家公司或服務(wù)平臺(tái)受到該漏洞影響。綜上，一旦不能及時(shí)處理開源軟件高危漏洞，將很有可能威脅到整個(gè)網(wǎng)絡(luò)空間，甚至危害國家安全。1.2.3開源軟件可隨時(shí)演變?yōu)榫W(wǎng)絡(luò)攻擊武器由于眾多開源軟件使用者存在“開源等于安全”的錯(cuò)誤理念，導(dǎo)致使用者在下載更新開源軟件時(shí)，往往忽略開源軟件自身存在的風(fēng)險(xiǎn)，同時(shí)維護(hù)者可隨時(shí)修改代碼，將其作為網(wǎng)絡(luò)攻擊媒介。開源Unix系統(tǒng)管理工具Webmin曾被發(fā)現(xiàn)存在遠(yuǎn)程代碼執(zhí)行高危漏洞，且該漏洞并非無意的編碼錯(cuò)誤，而是開發(fā)人員惡意修改代碼所導(dǎo)致。同時(shí)，在最近的俄烏沖突中，Github平臺(tái)node-ipc軟件包被發(fā)現(xiàn)人為注入惡意代碼，該惡意代碼可根據(jù)IP地址定向刪除俄羅斯地區(qū)用戶的文件。1.3開源軟件管理安全風(fēng)險(xiǎn)除供應(yīng)鏈斷供制裁風(fēng)險(xiǎn)、代碼安全風(fēng)險(xiǎn)外，在開源軟件全生存周期中，還存在著安全責(zé)任歸屬不明、用戶安全能力和安全意識(shí)不足、末端關(guān)聯(lián)資產(chǎn)排查不清等管理安全風(fēng)險(xiǎn)。1.3.1安全責(zé)任歸屬不明通常，開源社區(qū)或平臺(tái)不承擔(dān)開源軟件的漏洞安全修復(fù)責(zé)任，而軟件使用者同樣不承擔(dān)軟件安全責(zé)任，僅僅負(fù)責(zé)維護(hù)其自身設(shè)備或應(yīng)用，這使得開源軟件安全責(zé)任歸屬不明。在不承擔(dān)安全責(zé)任的基礎(chǔ)上，大多數(shù)開源軟件使用者很難對(duì)使用的開源軟件進(jìn)行高質(zhì)量的安全審計(jì)，一旦開源軟件存在漏洞，只能被動(dòng)等待開源軟件平臺(tái)方或維護(hù)方主動(dòng)發(fā)布修補(bǔ)通知，導(dǎo)致修復(fù)或加固工作滯后。此風(fēng)險(xiǎn)疊加斷供制裁風(fēng)險(xiǎn)，將會(huì)對(duì)我國網(wǎng)絡(luò)空間安全乃至國家安全造成更加嚴(yán)重的威脅。1.3.2用戶安全能力和安全意識(shí)不足開源社區(qū)的松散式開發(fā)維護(hù)模式并不對(duì)代碼的安全機(jī)制進(jìn)行全面審核，使得開源軟件能夠較為容易地被人為置入后門或惡意程序，而對(duì)使用開源軟件的用戶而言，由于缺少安全風(fēng)險(xiǎn)信息跟蹤能力，針對(duì)開源軟件安全風(fēng)險(xiǎn)防范和修復(fù)存在明顯的滯后性，嚴(yán)重威脅相關(guān)系統(tǒng)的安全運(yùn)行。此外，開源軟件的自由屬性使得大多數(shù)活躍在開源社區(qū)或平臺(tái)的用戶往往注重編程能力培養(yǎng)，而忽視安全能力提升，疊加開源軟件的主要使用廠商或貢獻(xiàn)廠商往往傾向于忽視安全方面資源經(jīng)費(fèi)投入，使得開源軟件安全風(fēng)險(xiǎn)防范能力無法有效提高。1.3.3末端關(guān)聯(lián)資產(chǎn)排查不清目前，商業(yè)軟件供應(yīng)商通常在未做安全驗(yàn)證的情況下直接引用開源軟件，并將其集成和開發(fā)至商業(yè)軟件產(chǎn)品中，導(dǎo)致企業(yè)用戶信息系統(tǒng)中被動(dòng)地引入了相關(guān)組件。開源軟件來源合法性和安全測(cè)試驗(yàn)證機(jī)制缺失，用戶在應(yīng)用相關(guān)產(chǎn)品時(shí)存在不可知、不可控的安全風(fēng)險(xiǎn)。在開源軟件的開發(fā)和使用過程中，不同開源軟件之間的復(fù)雜依賴關(guān)系使得絕大多數(shù)廠商無法準(zhǔn)確梳理其自身的開源軟件使用情況。一方面，軟件開發(fā)者可能疏于管理，使得已存在漏洞的開源軟件代碼被整合至新版本軟件；另一方面，使用者可能疏于統(tǒng)計(jì)，無法準(zhǔn)確排查存在風(fēng)險(xiǎn)的開源軟件在其設(shè)備資產(chǎn)中的具體部署情況。上述情況均會(huì)帶來一定程度的風(fēng)險(xiǎn)隱患。2開源軟件風(fēng)險(xiǎn)防范針對(duì)前文所總結(jié)的開源軟件供應(yīng)鏈安全、源代碼安全、管理安全等安全風(fēng)險(xiǎn)，本文在政策面上提出打造開源網(wǎng)絡(luò)安全生態(tài)、建設(shè)國家級(jí)開源平臺(tái)和項(xiàng)目以發(fā)展促安全、面向關(guān)鍵信息基礎(chǔ)設(shè)施開展開源軟件網(wǎng)絡(luò)安全專項(xiàng)整治等安全防范措施；在技術(shù)面上依托開源平臺(tái)開展軟件源代碼分析，實(shí)現(xiàn)軟件缺陷及漏洞預(yù)測(cè)。最終形成如圖1所示的“政策+技術(shù)”雙驅(qū)動(dòng)開源軟件網(wǎng)絡(luò)安全防范體系。圖1“政策+技術(shù)”雙驅(qū)動(dòng)開源軟件網(wǎng)絡(luò)安全防范體系2.1政策面風(fēng)險(xiǎn)防范措施2.1.1打造開源軟件網(wǎng)絡(luò)安全生態(tài)開源軟件網(wǎng)絡(luò)安全生態(tài)脫胎于開源軟件生態(tài)，主要是為開源軟件營造安全可靠的發(fā)展環(huán)境。在開源軟件成長(zhǎng)周期中，商業(yè)科技公司為充分利用開源軟件帶來的諸多優(yōu)勢(shì)，會(huì)圍繞開源軟件進(jìn)行業(yè)務(wù)拓展，同時(shí)部分開源軟件項(xiàng)目也是基于商業(yè)利益驅(qū)動(dòng)，進(jìn)而形成“商業(yè)+開源”的利益共同體，演化為各種開源軟件生態(tài)?；陂_源軟件生態(tài)的成長(zhǎng)歷程，我國開源軟件網(wǎng)絡(luò)安全生態(tài)的構(gòu)建需要3方面共同發(fā)力。一是發(fā)起成立全球知名的開源基金會(huì)。開源基金會(huì)是為開源軟件發(fā)展提供日常的運(yùn)營、管理及資金支持的非營利性組織，是生態(tài)的重要基石。同時(shí)，開源軟件基金會(huì)為商業(yè)公司和開源軟件開發(fā)者打造交流、合作的平臺(tái)，自身掌握大量開源代碼，為多個(gè)重要領(lǐng)域的應(yīng)用軟件提供服務(wù)。例如，國外著名的Apache基金會(huì)收錄了Tomcat、Hadoop等知名開源項(xiàng)目，推動(dòng)Web服務(wù)和大數(shù)據(jù)的發(fā)展，OpenStack基金會(huì)旗下的OpenStack項(xiàng)目則是目前應(yīng)用最為廣泛的云計(jì)算解決方案。目前我國已成立中國開源云聯(lián)盟、開放原子開源基金會(huì)等組織，助力XuperChain、OpenHarmony等開源項(xiàng)目的發(fā)展，但搶占全球開源話語權(quán)，構(gòu)建開源軟件網(wǎng)絡(luò)安全生態(tài)，尚需打造更加知名的基金會(huì)，并培育更多開源項(xiàng)目，以此奠定我國開源安全生態(tài)的基石。二是助力知名軟件企業(yè)成長(zhǎng)為開源行業(yè)龍頭。據(jù)歐盟委員會(huì)發(fā)布的

The

2021

EUIndustrialResearchandDevelopmentScoreboard

統(tǒng)計(jì)，全球2020年研發(fā)投入排名前十的企業(yè)中，我國僅有華為一家上榜，而同期美國谷歌、微軟、蘋果、臉書、英特爾共5家公司位列前十。在對(duì)包含開源軟件在內(nèi)的研發(fā)投資總體規(guī)模上，我國大型科技企業(yè)對(duì)比國際知名科技巨頭更是處于明顯劣勢(shì)。受此劣勢(shì)影響，我國科技產(chǎn)業(yè)賴以生存的底層操作系統(tǒng)、數(shù)據(jù)庫等核心軟件，均嚴(yán)重依賴受國外主導(dǎo)的開源社區(qū)或商業(yè)科技公司。三是打造各方認(rèn)可的開源安全文化。開源安全文化是我國開源軟件網(wǎng)絡(luò)安全生態(tài)長(zhǎng)久發(fā)展的內(nèi)在價(jià)值觀及外在行動(dòng)力的綜合體現(xiàn)。其不僅依賴于開源開發(fā)群體具有較強(qiáng)的安全開發(fā)能力，也依賴于開源基金會(huì)、大型科技公司等共同營造開源安全開發(fā)氛圍，包括開展企業(yè)安全管理、安全開發(fā)培訓(xùn)、代碼安全檢測(cè)、開源安全應(yīng)用等實(shí)際行動(dòng)，此外更需要社會(huì)各方在政策扶持、知識(shí)版權(quán)保護(hù)、標(biāo)準(zhǔn)完善等方面一同發(fā)力，助力開源安全文化發(fā)展。2.1.2建設(shè)國家級(jí)開源平臺(tái)和項(xiàng)目以發(fā)展促安全國家級(jí)開源平臺(tái)和項(xiàng)目的建設(shè)與全球知名開源基金會(huì)的成立同等重要，其目的都是全面推進(jìn)開源軟件產(chǎn)業(yè)化、規(guī)?；?。2020年，開源中國聯(lián)合國家工業(yè)信息安全發(fā)展研究中心等單位，華為、奇安信、浪潮等科技公司，北京理工大學(xué)、西南科技大學(xué)等高校，依托碼云Gitee建設(shè)中國獨(dú)立的開源托管平臺(tái)。同時(shí)，基于華為打造的HarmonyOS系統(tǒng)，由開放原子開源基金會(huì)孵化及運(yùn)營的OpenHarmony開源項(xiàng)目也已在Gitee平臺(tái)上繁榮發(fā)展。目前OpenHarmony開發(fā)成員數(shù)235、倉庫數(shù)401、貢獻(xiàn)數(shù)2400、代碼庫復(fù)制數(shù)25600，已成為Gitee平臺(tái)最有價(jià)值的開源項(xiàng)目之一。在此工作基礎(chǔ)上，應(yīng)當(dāng)持續(xù)打造我國自主掌握的高質(zhì)量開源托管平臺(tái)，脫離對(duì)國外成熟開源平臺(tái)的依賴，培育更多助力我國軟件產(chǎn)業(yè)發(fā)展的核心開源軟件項(xiàng)目，在平臺(tái)側(cè)和軟件側(cè)同時(shí)引領(lǐng)創(chuàng)新，有力遏制開源供應(yīng)鏈斷供制裁風(fēng)險(xiǎn)。2.1.3面向關(guān)鍵信息基礎(chǔ)設(shè)施開展開源軟件網(wǎng)絡(luò)安全專項(xiàng)整治關(guān)鍵信息基礎(chǔ)設(shè)施，是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)是國家推進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展的重要保障，目前開源軟件已滲透到各行各業(yè)的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)中，基于關(guān)鍵信息基礎(chǔ)設(shè)施的重要性，梳理開源軟件在關(guān)鍵信息基礎(chǔ)設(shè)施中的使用情況尤為迫切。面向關(guān)鍵信息基礎(chǔ)設(shè)施開展開源軟件網(wǎng)絡(luò)安全專項(xiàng)整治需各部門協(xié)同發(fā)力，常態(tài)化開展整治工作，建立本部門、本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施開源軟件資產(chǎn)清單，掌握開源軟件供應(yīng)鏈情況，定期開展開源軟件應(yīng)用安全培訓(xùn)及系統(tǒng)安全威脅檢測(cè)，及時(shí)驗(yàn)證并修復(fù)漏洞。2.2技術(shù)面風(fēng)險(xiǎn)防范措施基于政策面建設(shè)國家級(jí)開源平臺(tái)的措施，可通過同步在開源平臺(tái)側(cè)開展源代碼靜態(tài)分析，進(jìn)而實(shí)施代碼缺陷和漏洞預(yù)測(cè)，來實(shí)現(xiàn)在軟件生命周期的初始階段為開發(fā)者和使用者提供漏洞風(fēng)險(xiǎn)預(yù)警及排查參考。開展源代碼靜態(tài)分析并實(shí)施漏洞檢測(cè)具有以下優(yōu)點(diǎn)。一是源代碼靜態(tài)分析可用于代碼中的函數(shù)單元，這使得某些較為明顯的漏洞可在開發(fā)階段被及時(shí)發(fā)現(xiàn)。二是檢測(cè)速率高，能夠檢測(cè)代碼數(shù)量大的軟件。源代碼靜態(tài)分析不依賴人工，當(dāng)前基于詞語法分析、符號(hào)執(zhí)行、模型檢驗(yàn)、機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等理論的長(zhǎng)足發(fā)展，也使得源代碼靜態(tài)分析能力得到快速提高。2.2.1開展源代碼靜態(tài)分析技術(shù)基礎(chǔ)針對(duì)開源代碼開展靜態(tài)分析以檢測(cè)其存在的漏洞或其他風(fēng)險(xiǎn)隱患，主要基于兩種技術(shù)。一種技術(shù)為不同代碼間的特征比對(duì)，該技術(shù)的本質(zhì)為用同一種特征提取手段分別提取目標(biāo)代碼Code_A的特征Ca與參考代碼Code_R的特征Cr并進(jìn)行對(duì)比，如果代碼特征相同，則意味著代碼內(nèi)容一致，其風(fēng)險(xiǎn)點(diǎn)也一致。在進(jìn)行特征比對(duì)時(shí)，比對(duì)結(jié)果的準(zhǔn)確性依賴于代碼特征提取及比對(duì)方法、代碼特征庫（參考代碼庫）的全面性和準(zhǔn)確性兩個(gè)方面。另一種技術(shù)為不同代碼之間的依賴關(guān)系比對(duì)，該技術(shù)通常需要對(duì)完整代碼而非截取代碼片段進(jìn)行分析，其主要基于比對(duì)不同代碼中依賴的外部函數(shù)庫或組件，如果目標(biāo)代碼Code_A引用了已知存在風(fēng)險(xiǎn)點(diǎn)的代碼庫或函數(shù)Code_B，則目標(biāo)代碼通常會(huì)存在相同的風(fēng)險(xiǎn)點(diǎn)。其中，為Code_A存在的風(fēng)險(xiǎn)點(diǎn)，為Code_B存在的風(fēng)險(xiǎn)點(diǎn)。在進(jìn)行依賴關(guān)系比對(duì)時(shí)，比對(duì)結(jié)果的準(zhǔn)確性依賴于對(duì)代碼依賴的外部函數(shù)庫或組件的識(shí)別能力、代碼依賴的遞歸分析能力兩個(gè)方面。2.2.2基于深度學(xué)習(xí)的開源代碼靜態(tài)分析目前，開源平臺(tái)上源代碼數(shù)據(jù)快速增長(zhǎng)，使得基于機(jī)器學(xué)習(xí)和深度學(xué)習(xí)的靜態(tài)分析技術(shù)快速發(fā)展，自動(dòng)化對(duì)比特征提取識(shí)別技術(shù)愈發(fā)成熟。在基于機(jī)器學(xué)習(xí)的漏洞檢測(cè)方面，率先利用機(jī)器學(xué)習(xí)方法實(shí)現(xiàn)了對(duì)敏感信息泄露漏洞的自動(dòng)檢測(cè)，則致力于尋找在跨項(xiàng)目中影響漏洞檢測(cè)準(zhǔn)確率的特征，其發(fā)現(xiàn)選用復(fù)雜度作為特征指標(biāo)，比選取耦合度更能預(yù)測(cè)漏洞，同時(shí)提出了新的耦合度量——內(nèi)嵌漏洞標(biāo)題（IncludedVulnerableHeader，IVH）度量，使得漏洞檢測(cè)準(zhǔn)確率從60.9%提高到87.4%。在基于深度學(xué)習(xí)的漏洞檢測(cè)方面，模型特征不能準(zhǔn)確捕獲程序的語義是影響預(yù)測(cè)準(zhǔn)確率的重要原因，故其利用精確的圖形表示程序執(zhí)行流，并利用深度神經(jīng)網(wǎng)絡(luò)自動(dòng)學(xué)習(xí)缺陷特征。Song等人

利用深度信任網(wǎng)絡(luò)程序的抽象語法樹中提取的令牌向量自動(dòng)學(xué)習(xí)語義特征，并利用10個(gè)大型開源項(xiàng)目進(jìn)行驗(yàn)證，結(jié)果表明與傳統(tǒng)特征