开源代码托管平台为软件开发行业带来了活力和机遇，但也存在诸多安全隐患。开源代码的不规范性、项目依赖库的复杂性、漏洞披露平台（CVE、NVD等）收集漏洞的被动性等问题都影响着开源项目的安全。为了全面且及时地发现漏洞，设计并实现了基于项目版本差异性的漏洞识别系统—VpatchFinder。首先自动获取开源社区项目更新内容，接着提取项目注释信息特征组、页面统计特征组、代码统计特征组以及漏洞类型特征组共40个特征构建特征集。通过真实实验数据测试，VpatchFinder的精确率为84.35%，召回率为85.09%。实验结果表明，68.07%的社区漏洞能够提前被VpatchFinder发现。

• 单位
  四川大学