11月14日至18日，第30届国际计算机学会（Association for Computing Machinery，简称ACM）软件工程基础国际会议（The ACM SIGSOFT Joint European Software Engineering Conference and Symposium on the Foundations of Software Engineering, 简称ESEC/FSE）在新加坡召开。清华大学软件学院姜宇副教授课题组的论文“基于动态写读关系分析的浏览器API测试”（Minerva: Browser API Fuzzing with Dynamic Mod-Ref Analysis）获得杰出论文奖（Distinguished Paper Award）。

获奖证书

浏览器安全性是被广泛关注的问题。浏览器暴露大量的内置API来让web应用访问和修改浏览器的内部状态。已有的浏览器模糊测试工具通过生成包含大量的API调用的测试用例来挖掘浏览器的安全漏洞，然而大量的API组合构成的搜索空间使得已有模糊测试工具难以探索深层的API交互逻辑，极大地影响了挖掘漏洞的效率。获奖论文创新地提出了利用API后端处理逻辑间的内存“修改-引用”关系，来找到API间的隐式干涉关系，进而引导高效的浏览器输入生成。该方法目前已在三个主流浏览器（Chromium，Safari，FireFox）上找到35个漏洞，其中5个由于安全严重性被分配了CVE号且获得了浏览器开发商的认可和致谢。

获奖研究成果示意图

ESEC/FSE是软件工程领域顶尖学术会议，该会议每年汇集了来自学术界和工业界的研究人员和从业人员，重点关注软件工程各个领域的实际应用。该会议是CCF推荐A类会议，也是清华大学计算机学科推荐A类会议。2022年共接收99篇论文，接收率22%。在接收论文中，7篇论文获得ACM SIGSOFT杰出论文奖。

供稿：姜宇课题组

编校：董超

审核：刘璘