该论文针对C/C++开源软件组件复用导致的1-day漏洞传播问题，提出了一种基于代码分类技术的漏洞检测方法V1SCAN。现有检测技术（如符号执行、污点分析等）通常开销高昂且难以大规模应用。V1SCAN的核心思想是从已知漏洞的修复补丁中提取特征，通过代码分类技术在目标组件中识别未修复的漏洞变体。具体而言，首先从补丁前后代码的差异中构建抽象语法树（AST）和程序依赖图（PDG）表示，然后利用图神经网络（GNN）学习漏洞相关模式，从而对目标函数或代码片段进行二分类（含漏洞/已修复）。在三个大规模真实世界基准测试（包括Debian、开源项目等）上的实验结果显示，V1SCAN在F1分数上显著优于现有工具（如VUDDY、ReDeBug等），且检测速度更快，能够有效发现已被修复但仍在其他组件中存在的1-day漏洞。该研究为软件供应链安全提供了一种高效、可扩展的解决方案。

本文针对现代软件开发中第三方库复用带来的安全挑战，提出了一种名为VULTURE的1-day漏洞检测工具。第三方库复用能加速开发，但由于低维护性，许多易受攻击的版本仍在使用中，导致软件面临已知漏洞（1-day漏洞）的风险。传统的代码相似度比较方法因第三方库复用的灵活性和复杂依赖关系而效果不佳。VULTURE首先通过一种名为TPL FILTER的数据库创建方法，利用大语言模型（LLM）自动为目标平台构建独特的数据库。与依赖代码级相似度比较不同，VULTURE采用基于哈希的比较来探索收集到的第三方库之间的依赖关系，并识别这些库与目标项目之间的相似性。此外，考虑到开发者可能完全复用或定制复用第三方库，VULTURE分别执行基于版本的比较和基于块的比较，以捕获函数级别的细粒度语义特征。作者在10个真实项目上进行了评估，从178个复用的第三方库中成功识别出175个漏洞，证明了VULTURE在检测1-day漏洞方面的有效性和效率。这项工作为软件供应链安全提供了新的自动化检测手段。