该论文针对C/C++开源软件组件复用导致的1-day漏洞传播问题，提出了一种基于代码分类技术的漏洞检测方法V1SCAN。现有检测技术（如符号执行、污点分析等）通常开销高昂且难以大规模应用。V1SCAN的核心思想是从已知漏洞的修复补丁中提取特征，通过代码分类技术在目标组件中识别未修复的漏洞变体。具体而言，首先从补丁前后代码的差异中构建抽象语法树（AST）和程序依赖图（PDG）表示，然后利用图神经网络（GNN）学习漏洞相关模式，从而对目标函数或代码片段进行二分类（含漏洞/已修复）。在三个大规模真实世界基准测试（包括Debian、开源项目等）上的实验结果显示，V1SCAN在F1分数上显著优于现有工具（如VUDDY、ReDeBug等），且检测速度更快，能够有效发现已被修复但仍在其他组件中存在的1-day漏洞。该研究为软件供应链安全提供了一种高效、可扩展的解决方案。

本文针对现代软件开发中第三方库复用带来的安全挑战，提出了一种名为VULTURE的1-day漏洞检测工具。第三方库复用能加速开发，但由于低维护性，许多易受攻击的版本仍在使用中，导致软件面临已知漏洞（1-day漏洞）的风险。传统的代码相似度比较方法因第三方库复用的灵活性和复杂依赖关系而效果不佳。VULTURE首先通过一种名为TPL FILTER的数据库创建方法，利用大语言模型（LLM）自动为目标平台构建独特的数据库。与依赖代码级相似度比较不同，VULTURE采用基于哈希的比较来探索收集到的第三方库之间的依赖关系，并识别这些库与目标项目之间的相似性。此外，考虑到开发者可能完全复用或定制复用第三方库，VULTURE分别执行基于版本的比较和基于块的比较，以捕获函数级别的细粒度语义特征。作者在10个真实项目上进行了评估，从178个复用的第三方库中成功识别出175个漏洞，证明了VULTURE在检测1-day漏洞方面的有效性和效率。这项工作为软件供应链安全提供了新的自动化检测手段。

VulStyle 是一种多模态软件漏洞检测模型，它联合编码函数级源代码、非终端抽象语法树（AST）结构和代码风格特征。以往的代码表示方法主要使用基于词级别的模型或完整的AST树，往往忽略了表明风险编程习惯的风格线索，或者导致较高的结构开销。VulStyle 仅选择非终端AST节点，降低了输入复杂度同时保留了语义层次，并整合了句法和词法级别的代码风格特征作为辅助漏洞信号。该模型使用掩码语言建模在七个编程语言的490万函数上进行预训练，并在五个基准数据集（Devign、BigVul、DiverseVul、REVEAL、VulDeePecker）上进行微调。VulStyle 在BigVul和VulDeePecker上达到了最先进性能，F1分数相比强Transformer基线提升了4%到48%，并在所有基准测试中取得具有竞争力或最佳平均性能。此外，作者进行了消融研究，以单独分析代码风格特征和AST结构的影响，还进行了错误案例分析和在攻击者真实场景下的威胁建模。

介绍了一个跨多个提交引入的Python漏洞基准，揭示了每次提交静态分析工具检测率极低（13%），表明现有SAST对这类漏洞几乎无效。