文章总结： 四川大学黄诚团队在软件供应链安全领域的成果被CCFA类期刊TSE录用。针对恶意包投毒攻击，团队提出一种Java恶意包检测方法，结合基于摘要分析的过程间分析与堆值流代码切片技术，有效定位恶意代码并缓解分析偏差。实验显示该方法准确率高且检测效率优异，具有重要应用价值。 综合评分： 80 文章分类： 供应链安全,恶意软件,代码审计

四川大学网络空间安全学院软件供应链安全最新研究成果被CCF A类期刊TSE录用

信息网络安全杂志

2025年12月27日 17:03 上海

近日，四川大学网络空间安全学院在软件供应链安全领域的研究成果被软件工程领域国际顶级期刊IEEE Transactions on Software Engineering（TSE）接收，TSE是国际公认的软件工程领域的两个顶级期刊之一，在中国计算机学会推荐期刊列表中被评价为A类期刊。

图1 Java恶意包检测流程

针对近年来软件供应链中愈演愈烈的恶意包投毒攻击，黄诚团队在论文《Wolf in Sheep’s Clothing: Shearing the Camouflage of Malicious Java Components in Maven》首次提出一套适用于真实场景的Java恶意包检测方法，如上图所示。具体而言，该框架采用了基于摘要分析的过程间分析方法来对程序入口点进行有效裁剪，在保障代码覆盖度的前提下，定位潜在恶意的代码片段；进一步引入基于堆值流的代码切片，替代传统函数级表征，缓解Java动态特性带来的分析偏差。实验结果表明，该方法在多个基准上优于现有方法，且在多种对抗场景下表现性能良好，同时保持了高水平的恶意Java包识别准确率与检测效率。四川大学网络空间安全学院为该成果作为唯一通讯单位，四川大学网络空间安全学院2023级硕士生曾雨潼作为第一作者，黄诚副教授担任通讯作者。

该研究是黄诚课题组在前期NPM、Python等供应链安全检测成果之后取得的又一重要进展，对提升软件供应链安全水平具有重要的理论意义和应用价值。

来源：四川大学网络空间安全学院

推荐阅读

基于正交最速梯度下降法的联邦遗忘学习、基于聚类的联邦学习框架

话还没说完，手机里广告就推送过来了？语音窃听怎么防？数字取证教育部工程研究中心面向移动设备的抗窃听防御工作被CCF

个性化联邦学习：确保数据隐私安全，训练高效人工智能模型

我国首次！清华大学在商用处理器上发现并披露免计时缓存侧信道攻击案例，研究成果被ACM CCS2025接收

推荐阅读

• “网安+法学”双学位  |  看南开大学、东南大学、重庆邮电大学在新赛道上加速跑

• 芯片安全漏洞难检测？看西工大“抽象四次方”如何破解芯片安全难题

• “五色石”计划下，东南大学网络安全人才培养模式创新“密码”揭秘

• “实战派”网安人才培养新范式，看上海交通大学、暨南大学、湖南大学如何转变模式锻造网安实战人才

• 做研究，读“经典”！看中国科学技术大学、东南大学、南开大学和兰州大学网络空间安全领域青年教师如何挖出让审稿人眼前一亮的新切口

信息网络安全

《信息网络安全》创刊于2001年，是由公安部主管，公安部第三研究所、中国计算机学会主办，面向国内外公开发行的国内首批信息安全类期刊之一，于2015年成为中国科技核心期刊，2017年成为中国科学引文数据库来源期刊，2018年成为中文核心期刊，2022年入选CCF计算领域高质量科技期刊分级目录。

中文核心期刊

中国科技核心期刊

中国科学引文数据库来源期刊

CCF计算领域高质量科技期刊

我们在不断努力和完善中，期待您的关注和支持！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信息网络安全杂志 《四川大学网络空间安全学院软件供应链安全最新研究成果被CCF A类期刊TSE录用》