小组研究成果被ACM期刊TOSEM 2023接收

清华大学软件系统安全保障小组研究成果 “CLFuzz: Vulnerability Detection of Cryptographic Algorithm Implementation via Semantic-Aware Fuzzing”被期刊ACM Transactions on Software Engineering and Methodology接收。该论文提出了CLFuzz——一个语义感知的密码算法模糊测试工具。CLFuzz可以自动化地提取密码算法相关的语义信息，包括输入数据规范约束和被测算法函数签名等，并据此生成的高质量测试输入。另外，基于提取的语义信息，CLFuzz设计了多轮测试协同的逻辑交叉验证漏洞检测方法，利用多个密码算法之间的逻辑关系来挖掘其中的逻辑漏洞。经测试，该工具较现有工作Cryptofuzz等提升了14.4%的覆盖率，并加速覆盖率提升3.4X。CLFuzz成功挖掘了12个密码算法漏洞，其中2个被微软授予1000美元奖金。该工作由硕士生周远航，博士生马福辰、陈元亮等共同参与完成。

ACM Transactions on Software Engineering and Methodology是软件工程领域著名期刊，也是CCF推荐A类期刊，主要发表软件测试与验证、软件系统设计与方法等领域的前沿研究工作，目前的影响因子为3.685。