肖扬，中国科学院信息工程研究所预聘副研究员，专注于软件供应链安全和软件漏洞挖掘。独立发现0day漏洞130余个，涵盖Linux kernel、FreeBSD、高通驱动等；带领团队发现Chrome、Adobe、Tensorflow、Pytorch等软件0day漏洞300余个。相关论文发表于USENIX Security、S&P、CCS、NDSS、ICSE、ISSTA等，曾任TOSEM、EMSE、FCS、Neural Network等期刊审稿人。主持国家自然基因青年项目，担任国家重点研发计划课题执行负责人，参与国家自然基因重点等国家级项目。团队2人入选MSRC TOP 100、戴尔名人堂、因特尔名人堂、谷歌名人堂等。

083900-网络空间安全
0812Z1-信息安全

软件安全
软件供应链安全

2015-09--2022-01   中国科学院信息工程研究所   工学博士
2011-09--2015-06   中山大学   工学学士学位

   

2022-03~现在, 中国科学院信息工程研究所, 副研究员

   

（ 1 ） 一种基于动静态结合的ReDoS漏洞检测方法与系统, 发明专利, 2023, 第 4 作者, 专利号: CN116614270A

（ 2 ） 一种基于关键语义特征的安全检查缺陷检测方法, 发明专利, 2022, 第 3 作者, 专利号: CN114490313A

（ 3 ） 一种基于关键语义特征的安全检查缺陷检测方法, 发明专利, 2022, 第 3 作者, 专利号: CN114490313A

（ 4 ） 一种基于关键语义特征的安全检查缺陷检测方法, 发明专利, 2022, 第 3 作者, 专利号: CN114490313A

（ 5 ） 一种基于机器学习的编译相关文件识别方法及装置, 发明专利, 2022, 第 3 作者, 专利号: CN114047917A

（ 6 ） 一种二进制代码复用的开源组件版本识别方法及装置, 发明专利, 2022, 第 3 作者, 专利号: CN114035794A

（ 7 ） 针对二进制程序的相似漏洞检测方法及装置, 发明专利, 2021, 第 3 作者, 专利号: CN113468525A

（ 8 ） 一种基于代码特征的二进制代码与源代码相似性分析方法与装置, 发明专利, 2021, 第 6 作者, 专利号: CN111078227B

（ 9 ） 一种基于文本和源代码符号提取的漏洞位置标注方法和装置, 2021, 第 2 作者, 专利号: CN110147673B

（ 10 ） 一种二进制代码与源代码间复用关系的识别方法与装置, 专利授权, 2021, 第 5 作者, 专利号: CN111045670B

（ 11 ） 一种源代码与二进制代码间的语义比对方法和装置, 2021, 第 4 作者, 专利号: CN110147235B

（ 12 ） 一种基于文本和源代码符号提取的漏洞位置标注方法和装置, 发明专利, 2019, 第 2 作者, 专利号: CN110147673A

（ 13 ） 一种源代码与二进制代码间的语义比对方法和装置, 专利授权, 2019, 第 4 作者, 专利号: CN110147235A

   

（1） LibvDiff: Library Version Difference Guided OSS Version Identification in Binaries, International Conference on Software Engineering (ICSE) (CCF-A), 2024, 第 4 作者
（2） File Hijacking Vulnerability: The Elephant in the Room, Annual Network & Distributed System Security Symposium (NDSS) (CCF-A), 2024, 通讯作者
（3） Asteria-Pro: Enhancing Deep-Learning Based Binary Code Similarity Detection by Incorporating Domain Knowledge, ACM Transactions on Software Engineering and Methodology (CCF-A), 2023, 通讯作者
（4） Detecting API Post-Handling Bugs Using Code and Description in Patches, USENIX Security 2023 (CCF-A类), 2023, 第 3 作者
（5） Towards Practical Binary Code Similarity Detection: Vulnerability Verification via Patch Semantic Analysis, ACM Transactions on Software Engineering and Methodology (TOSEM) (CCF-A), 2023, 通讯作者
（6） Enhancing OSS Patch Backporting with Semantics, The ACM Conference on Computer and Communications Security (CCS) (CCF-A), 2023, 第 2 作者
（7） ACETest: Automated Constraint Extraction for Testing Deep Learning Operators, ACM SIGSOFT International Symposium on Software Testing and Analysis (ISSTA) (CCF-A), 2023, 通讯作者
（8） Unleashing the power of pseudo-code for binary code similarity analysis, CYBERSECURITY, 2022, 第 3 作者
（9） VERJava: Vulnerable Version Identification for Java OSS with a Two-Stage Analysis, 2022 IEEE International Conference on Software Maintenance and Evolution (ICSME), 2022, 第 3 作者
（10） RegexScalpel: Regular Expression Denial of Service (ReDoS) Defense by Localize-and-Fix, USENIX Security '22 (CCF-A), 2022, 第 10 作者
（11） VIVA: Binary Level Vulnerability Identification via Partial Signature, SANER, 2021, 第 1 作者
（12） B2SMatcher: fine-Grained version identification of open-Source software in binary files, CYBERSECURITY, 2021, 第 3 作者
（13） MVP: Detecting Vulnerabilities using Patch-Enhanced Vulnerability Signatures, PROCEEDINGS OF THE 29TH USENIX SECURITY SYMPOSIUM, 2020, 第 1 作者
（14） B2SFinder: Detecting Open-Source Software Reuse in COTS Software, 34TH IEEE/ACM INTERNATIONAL CONFERENCE ON AUTOMATED SOFTWARE ENGINEERING (ASE 2019), 2019, 第 5 作者
（15） Open-Source License Violations of Binary Software at Large Scale, 2019 IEEE 26TH INTERNATIONAL CONFERENCE ON SOFTWARE ANALYSIS, EVOLUTION AND REENGINEERING (SANER), 2019, 第 4 作者

   

（ 1 ） 基于多源漏洞数据的同源漏洞发现技术研究, 负责人, 国家任务, 2023-01--2025-12
（ 2 ） 面向软件供应链的全生命周期安全风险精准分析与检测技术, 负责人, 国家任务, 2022-12--2025-11
（ 3 ） 无CVE警示的漏洞感知技术合作, 负责人, 境内委托项目, 2022-12--2023-12

现指导学生

孙天琦  硕士研究生  083900-网络空间安全  

邱思豪  硕士研究生  083900-网络空间安全