CCF-华为创新研究计划

1、CCF-华为创新研究计划软件工程2021年度申报课题及说明CCF-华为创新研究计划技术委员会软件工程领域组二零二一 年 四 月 课题本专题中课题主要为了持续提升相关软件工程技术的能力上界，针对业界典型问题和痛点，解决关键技术瓶颈或形成技术断裂点，大幅提升产品/平台/解决方案竞争力，创造产业价值，形成本研究计划的正循环。 基金池2021年度软件工程专题基金池共计270万人民币。 产业课题单课题原则上资助额度为40-60万人民币，为期一年。提交成果中原则上需要包含源代码。2021年度拟资助5个课题：基于代码大数据分析的缺陷模式库构建基于威胁建模的软件安全风险识别与消减面向分布式代码版本控制系统的代

2、码文件存储优化软硬件多态、多元组合场景下的测试用例筛选大规模软件运维数据的分析与检测基于代码大数据分析的缺陷模式库构建项目背景现有静态分析技术根据专家预定义的模式来执行检查和修复任务。而随着软件规模越来越大，缺陷模式和修复模式越来越复杂多样，难以通过人工方式预先总结归纳。因此，亟需探索具有一定自动化程度的技术方案，从代码、文档、注释等多种软件数据中智能识别并挖掘各类缺陷模式和修复模式，以帮助发现尽可能多的程序缺陷并提供尽可能准确的修复建议，以保障软件系统的各类质量属性。研究内容面向C/C+/Java/Python/Go/JavaScript/TypeScript等常用编程语言，综合利用代码分析

3、、数据挖掘和机器学习等技术，收集缺陷代码数据及缺陷修复历史数据，挖掘提炼各类代码使用规则、缺陷模式及修复模式。具体缺陷类型包括但不限于：开源三方库API使用相关缺陷模式、资源泄漏类相关缺陷模式、API返回值检测相关检测及修复模式等。缺陷检测基于历史代码提炼并构建缺陷实例库；从大规模缺陷实例代码中自动/半自动挖掘缺陷模式，构建缺陷模式库；基于缺陷模式库，孵化并开发各类缺陷检测技术或工具；缺陷修复1. 从代码提交历史自动识别缺陷代码及修复代码的对应关系，构建缺陷修复实例库；2. 从缺陷-修复数据中提取缺陷修复模式，为实际缺陷提供修复建议；基于缺陷修复模式，孵化并开发各类缺陷修复技术或工具；基于威胁

4、建模的软件安全风险识别与消减项目背景目前威胁建模、安全风险分析多依赖分析人员安全技术水平，技术门槛较高，分析质量参差不齐；希望通过自动化识别安全风险和智能化推荐消减措施来提升威胁建模质量，降低一定的威胁建模分析所需的安全技术门槛。威胁建模是SDL中必要的一环，需要专业的安全知识和渗透测试视角，从攻击者角度分析系统或特性的安全风险。对安全设计人员技能水平要求较高。研究内容目的：针对关键特性或系统进行威胁建模，在设计阶段识别出安全风险，并给出消减措施，在设计阶段消减安全风险。过程：通过绘制数据流图（或者其他输入，无限制）和图元属性信息等，自动化识别出安全风险，并自动化推荐消减措施。技术、算法不限。

5、针对业界发展，新的攻击手段、漏洞等能够更新知识库。知识库包括威胁库、消减库、设计方案库等。方向一：威胁建模中基于威胁模型驱动的自动化识别安全风险和测试生成；可以按行业或者解决方案分类；技术、算法不限；方向二：威胁建模中根据安全风险智能化推荐消减方案；可以按行业或者解决方案分类；技术、算法不限；行业：智能汽车、医疗、物流、金融等；分类：web安全、移动安全、IOT安全等；面向分布式代码版本控制系统的代码文件存储优化项目背景GIT是一个当前应用非常广的分布式代码版本控制系统，现有的文件索引结构与权限管理力度都是是基于分支与历史版本的，同一个文件的不同历史是用不同的对象进行存储。如何使用索引快速查找

6、文件版本，又能做到细粒度的权限控制能力，是当前的一个挑战。GIT仓库会将所有历史进行打包压缩存储，在代码仓库较大、版本历史很多的情况下，传输与版本差异都需要进行大量的计算。如何减少计算、减少资源消耗，快速响应用户的需求，同样也是一个难点问题。研究内容针对GIT当前存储原理，收集各种代码版本控制存储原理，以及借鉴各种文件系统存储能力，研究一种新的代码版本存储及计算方式，解决当前GIT版本管理的短板问题。方向一：代码文件存储及索引方式，高效的存储大量小文件对象，并能快速索引，解决细粒度权限控制的问题；方向二：代码文件对象传输和代码版本切换方式，能够实现代码文件的冷热存储划分，减少服务端资源计算开销

7、，减少客户端的传输计算量，让用户优先获取到需要的部分数据软硬件多态、多元组合场景下的测试用例筛选项目背景华为公司嵌入式产品新替代硬件不断推出，物料成本高，BCM供应链生态共建大前提下芯片、器件、单板等硬件以及操作系统OS、数据库中间件等软件形态多元化。而组件独立升级子系统集成、子系统、系统集成、系统、E2E场景级测试、软硬件兼容性测试等测试需部分或全部硬件在环测试，软硬件形态组合爆炸，测试执行规模大，在有限的测试物料，测试环境资源，测试人力资源，测试迭代周期内，同一测试逻辑无法完成在软硬态全组合测试环境下遍历执行。因此，需要探索低成本的、低overhead的、智能化的方法，辅助测试人员快速精准

8、挑选最小测试用例及形态组合，同时保证测试缺陷优先拦截、软硬件变更覆盖、测试等价类覆盖。研究内容1. 系统软件架构跨业务逻辑实现代码，适配层代码，和底层硬件驱动代码等，不同层次代码语言可能不同，需解决overall代码调用关联关系挖掘问题。2. 系统级测试获取代码-用例关联关系获取困难，动态插桩overhead严重，需解决轻量级、低成本获取系统测试用例-代码或架构元素关联关系。3. 在无法获取源码及代码-用例关联关系的场景下，需解决形态等价类挖掘问题，例如从测试行为历史数据、形态属性描述数据等挖掘形态组合等价类。大规模软件运维数据的分析与检测项目背景在大型云服务及物理网络通信系统的测试运维场景中

9、，需要提供各项应用并服务大量用户，会实时产生海量KPI数据和日志信息。通过监控业务及设备资源利用率等KPI数据和日志信息，及时发现问题，比如业务时延、吞吐量指标等业务指标，CPU利用率、内存等资源类指标，被测设备或服务的错误码日志信息及流量、调用链信息等；在出现故障时，运维及测试人员通过查看KPI、错误日志等方式，定位故障原因；最后，通过扩容调度甚至优化等方面的手段快速解决问题，避免对用户造成影响。研究内容业务场景中存在海量KPI和日志信息，针对海量形态不同的KPI数据建立有效的异常检测模型是个巨大的挑战；业务发生故障时，通常会产生海量KPI告警和错误日志信息，如何从这些信息中挖掘出故障传播链，快速定位根因并修复，也是当前面临的挑战之一。根据以上挑战，研究方向的总结如下：1、针对多样性的海量数据，需提升异常检测算法的准确性，