开源软件是指那些提供源代码并且可以免费使用的软件。通常情况下,这些软件允许其他开发者在其基础上进行修改,甚至可以将修改后的软件重新发布。由于开源软件的这些特性,越来越多的公司和开发人员开始加入到开源软件社区,使得开源软件的生态环境正在变得日益庞大。然而,由于开源软件贡献者的开发水平和安全意识参差不齐,许多未经安全审计、可能存在安全隐患的代码开始流入开源社区。互联网的发展的为用户提供了海量的开源软件和便捷的下载渠道,降低了软件开发的门槛,极大地促进了软件行业的繁荣。但是通过代码克隆等方式使用开源软件可能会存在一些隐患。一方面代码克隆容易引起知识产权纠纷,另一方面,如果开源软件本身存在安全漏洞,代码克隆有可能使这些漏洞扩散到新的软件中。尽管研究人员多年来一直试图通过检测代码克隆来发现漏洞,但由于开源软件的规模和数量都在极快地增长,大多数研究都无法提供能够应对这种情况的具有高伸缩性的检测手段。此外,现有的克隆检测技术大多侧重于抄袭检测,无法准确发现代码克隆造成的漏洞,也无法发现调用第三方开源库引起的漏洞。为了解决上述问题,同时受国家互联网应急中心委托,本文提出了一种具有良好伸缩性的检测方案——基于同源性检测的预标识漏洞识别分析技术,该技术能够快速有效地检测出大型软件程序中的安全漏洞。该技术通过对待测软件进行多级别抽象和对多种同源性检测技术的综合利用,实现了在逐级缩小检测范围的同时提高检测精度的效果,从而在检测速度与准确率之间取得了平衡,达到了较好的伸缩性。与其他漏洞检测手段相比,该技术还具有以下优点:该技术不针对特定类型语言和特定类型漏洞,具有良好的适应性;该技术使用NVD等漏洞库中的真实漏洞作为样本,具有更高的准确性;该技术不仅在小样本数据上表现良好,当数据量非常大时依然具有良好的性能。最后,本文为基于同源性检测的预标识漏洞识别分析技术申请了专利,并进行了工程化实现,形成了一套漏洞识别分析系统。在测试中,该系统检测了 130GB来源于GitHub的开源软件(约5600个仓库),共检测出387个仓库感染不同类型的漏洞,总命中次数2289次。目前该系统已经交付国家互联网应急中心部署上线。