Proj CDeepFuzz Paper Reading: Supply-Chain Vulnerability Elimination via Active Learning and Regeneration

Abstract

背景：

1. 软件供应链攻击的目标是集成到客户端应用程序中的组件。
2. 此类攻击通常针对广泛使用的组件，通过不影响客户端观察到的组件行为（例如文件系统或网络访问）进行攻击。

本文：HARP
Task: infer and regenerate the client-observable behavior of software components
Method: active library learning and regeneration(ALR)

1. 多轮探索
2. 生成输入后观察输出，infer a model of behavior
3. 用a domain-specific language来表示model of behavior

实验：

1. 成功infer and regenerate string-processing components in JS and C/C++，与原始库完全兼容，性能没有区别
2. 可以消除几个库漏洞，例如event-stream, left-pad和string-compare