All 52

一分钟读论文:《Montage:基于神经网络语言模型 (NNLM) 实现 JS 引擎模糊测试器》

基于神经网络语言模型 (NNLM) 实现 JS 引擎模糊测试器被证实有效。韩国科学技术院(KAIST)的一篇论文《Montage: A Neural Network Language Model-Guided JavaScript Engine Fuzzer》, 首次提出了基于神经网络语言模型 (NNLM) 实现 JS 引擎模糊测试器: Montage。 论文提出了一种将 JS 测试用例的层次结构和这些结构之间的关系建模为一系列片段的新算法。 将 AST 编码为片段序列使 Montage 能够使用 LSTM 模型学习片段之间的关系。 技术的关键方面是将 JS 抽象语法树 (AST) 转换为可以直接训练流行的 NNLM 的 AST 子树序列 试验用例结果表明 Montage 在最新的 JS 引擎中发现了37个真实 bug,有3个是公共漏洞和暴露(CVE),证明了它能有效发现 JS 引擎的 bug。

In Security, 1 min read
一分钟读论文:《Montage:基于神经网络语言模型 (NNLM) 实现 JS 引擎模糊测试器》

一分钟读论文:《NPM 供应链的软肋是什么?》

微软和美国北卡罗莱纳州立大学合作的一篇论文《What are Weak Links in the npm Supply Chain?》,显然 NPM 供应链攻击形势非常严峻,论文结论建议 NPM 要求对依赖排名前 100 的包的维护者进行强制性 2FA 登录认证。有几个数据触目惊心: 93K里就有 3k 维护者的邮箱都已经失效甚至在网上被售卖,覆盖33个 TOP1 流行的包。 2.2%的包可以本身逻辑就支持安装脚本,2.4% TOP1 流行包依赖了它们。而市面上93%的恶意脚本都是通过安装脚本达到目的。 58%的包和44%的维护者都不活跃了,而流行包里有38%的包两者都不活跃了。 1% TOP1 的包包含30+维护者,60+贡献者,维护:贡献高达1:2。 NPM 52%的包被 5K 作者拥有。

In Security, 1 min read
一分钟读论文:《NPM 供应链的软肋是什么?》

Featured

  1. 一分钟读论文:《线上系统事故解决时间(TTM)需要多久?》
    In Engineering,
  2. 一分钟读论文:《软件工程管理密码有哪些最佳实践?》
    In Secturity,
  3. 一分钟读论文:《技术债的普遍性、原因和影响:业界系统调查》
    In Engineering, Architecture,
  4. 一分钟读论文:《玩转 GitHub 开源软件社区的必备技能树》
    In OpenSource, Engineer,
  5. 一分钟读论文:《ChatGPT 提示模式:提高代码质量、重构、需求获取和软件设计》
    In AI, Engineering, Engineer,
  6. 一分钟读论文:《用 Rust 和 WebAssembly 补充 JS 实现高性能 Node、Web 应用程序》
    In Architecture, Performance,
  7. 一分钟读论文:《通过反思性目标设定培养工程师的好习惯》
    In Engineer, Productivity,
  8. 一分钟读论文:《卓越的开源维护者是如何成就的?》
    In OpenSource, Engineer,
  9. 一分钟读论文:《我们走了多远——WebAssembly 运行时的全面特征研究》
    In FrontEnd,
  10. 一分钟读论文:《XSS 攻击22年:全面调查及系统综述》
    In Security,
  11. 一分钟读论文:《细孔沉千帆:小程序权限漏洞研究》
    In Security,
  12. 一分钟读论文:《影响大规模敏捷软件开发按时交付的因素》
    In Productivity,
  13. 一分钟读论文:《被掏空的一天:软件工程师的日常》
    In Productivity, Engineer,
  14. 一分钟读论文:《30年软件重构研究:系统性文献综述》
    In Engineering,
  15. 一分钟读论文:《要不要上 TypeScript?GitHub 上 JS 和 TS 应用软件质量的系统比较》
    In FrontEnd,
  16. 一分钟读论文:《关于(未)采用 JavaScript 前端框架的研究》
    In FrontEnd, Architecture,
  17. 一分钟读论文:《NPM 供应链的软肋是什么?》
    In Security,