近日，我院在软件供应链安全领域的研究成果被软件工程领域国际顶级期刊IEEE Transactions on Software Engineering（TSE）接收，TSE是国际公认的软件工程领域的两个顶级期刊之一，在中国计算机学会推荐期刊列表中被评价为A类期刊。

图1 Java恶意包检测流程

针对近年来软件供应链中愈演愈烈的恶意包投毒攻击，黄诚团队在论文《Wolf in Sheep’s Clothing: Shearing the Camouflage of Malicious Java Components in Maven》首次提出一套适用于真实场景的Java恶意包检测方法，如上图所示。具体而言，该框架采用了基于摘要分析的过程间分析方法来对程序入口点进行有效裁剪，在保障代码覆盖度的前提下，定位潜在恶意的代码片段；进一步引入基于堆值流的代码切片，替代传统函数级表征，缓解Java动态特性带来的分析偏差。实验结果表明，该方法在多个基准上优于现有方法，且在多种对抗场景下表现性能良好，同时保持了高水平的恶意Java包识别准确率与检测效率。我院为该成果作为唯一通讯单位，我院2023级硕士生曾雨潼作为第一作者，黄诚副教授担任通讯作者。

该研究是黄诚课题组在前期NPM、Python等供应链安全检测成果之后取得的又一重要进展，对提升软件供应链安全水平具有重要的理论意义和应用价值。

网络空间安全学院

2025年11月28日