关于卓博计划:
卓博计划是复旦大学实施的一项学术型拔尖人才培养计划。每年从高年级本科生中选拔一批有志于学术研究的优秀学生,直接贯通到博士生培养,通过机制优化、制度创新和资源倾斜,努力造就引领未来的优秀青年学者。
01 “在未知中思考是我博士期间最常做的事情”
Q:学长当时为什么选择“卓博计划”?
A:首先是自己就有读博的想法,所以就借助卓博的机会报名直博。其次,当时我已经在实验室学习科研一段时间了,对实验室做的东西也比较了解,在和组里的学长交流学习中发现实验室的氛围很不错、老师比较优秀、成果比较多。另外,我本身对网络安全方向感兴趣。网络安全本身是一个除了计算机系统之外还需要人参与的机制,它需要考虑人与人之间的对抗,更加复杂。因此选择网络安全方向来读博。
Q:学长觉得本科生和博士生有什么区别?
A:本科生不需要想太多,每天认真上课,搞好绩点就好了。但是进入博士之后,就需要思考很多,而且会随着年级增长而越来越突出。随着年级的增长,你相关领域的知识更多,会更加明确地认识到自己的技能边界在哪里。自己擅长的其实是科研领域内一个非常小的部分,当视野开阔之后,就会发现这个领域内有很多非常非常牛的大佬,他们往往有自己明确的科研偏向。这个时候就会想,自己的标签是什么,如何介绍自己。另一点是,科学研究具备非常多的不确定性,要对非常多未知的问题提出解决方案。
Q:学长在科研上遇到最大的挑战是什么,怎样克服的?
A:每个阶段都会有每个阶段的挑战,比如做第一项工作的时候,怎么入门,怎么写论文。这个在做第二个工作时候就会好很多。还有团队协作上可能会遇到问题。另一个就是怎样平衡好自己的时间。当事情很多的时候,比如科研项目、横向项目、人才培养上等的事情都需要进行平衡。
02 “将自己的科研服务于社会和国家的需求”
Q:学长可以简单介绍一下自己正在做的研究吗?
A:我现在正在做的是漏洞治理,也是张磊老师这边重要的研究方向。简单来说,挖洞是漏洞治理的第一步,随后还需要进行漏洞的验证、利用、修复等。我的第一篇工作是使用模糊测试技术进行漏洞挖掘;第二篇工作是对漏洞进行可利用性验证,在软件供应链上利用漏洞对下游软件进行攻击。后续会继续做一些自动化漏洞修复完整性检测的工作。
Q:学长觉得漏洞治理中最关键的地方在哪里,有什么独有的挑战?
A:当前代码的复杂性很高。这不单单指一个仓库中代码很多,在供应链场景下,一个下游软件,例如Chrome浏览器,就利用了很多第三方的代码,而第三方代码又会集成很多其他的代码,从而形成复杂的依赖关系。这也就导致了一个小组件中简单的漏洞造成非常广泛的影响,例如之前的Log4j的漏洞。在漏洞治理过程中,对深层次组件的漏洞发现、漏洞影响范围和分析以及迅速对漏洞进行修复并应用到不同下游组件上,都是非常困难的。
Q:如何将漏洞治理的研究成果应用到实际中呢,有什么难点或者收获吗?
A:漏洞治理是一个重要的话题,大厂很重视相关研究,我们的很多研究都会和企业对接落地。另一方面,我们国家正在大力推广信创产业,我现在的研究可以用于为我国的信创软件提供安全防护,为国家和社会做出贡献。最大的难点是产品的适配过程。科研上的原型和真实生产环境存在明显的差异,现实世界代码量更为庞大、依赖关系更加复杂,企业使用的操作系统、软件等和科研有很大差距,需要做复杂的适配工作,也需要增强代码的自动化程度。
03 “达成共识是团队协作上最重要的步骤”
Q:学长刚刚提到科研中团队协作非常重要,学长觉得在团队协作和团队建设上有什么经验可以分享的吗?
A:研究生在初期是一个项目的参与者,当年级升高之后,也会有一些带新生的任务。我个人的体会是,在做团队合作中一个非常重要的点在于怎样去和组员以及小组博士达成思想上的共识。达成认识上的统一是非常重要的步骤,但是由于大家的背景都不一样,所以很多我觉得自然而然的事情在他人眼里不是这样。因此在合作时候要提前摸清别人的特长和短板,然后据此调整自己的沟通方式。另一个就是多站在对方的角度思考问题,怎样把每个人的需求平衡好,有一个共同的目标是非常关键的。
Q:有很多同学正迈上新的台阶,进入新的学习阶段,学长有什么建议?
A:尽快适应,尽快进行研究生和本科生身份的转变。另一个是多和其他组的同学交流,了解别人在做什么,不要只局限于自己小的领域中,能了解到安全领域不同话题。最后,还是多一些自驱力吧。研究生阶段老师的要求没有那么严格,研究生真正科研的时间很短,希望能真正深入安全领域的一些问题。安全领域的科研还是一个非常难的过程,希望做好心理准备,多和同学们交流,会获得一些帮助。
指导老师介绍
张磊,助理研究员、硕导,研究兴趣涉及系统安全,重点研究开源软件中的漏洞。这包括漏洞发现和分析、利用和自动修复。迄今为止,已带领团队发现了 300 多个具有 CVE ID 的零日漏洞,并获得了包括谷歌、阿里巴巴、蚂蚁金服、华为、Apache、Eclipse、红帽和 VMware 在内的多家知名企业的认可。在A类会议和期刊发表论文十余篇,获得2022年USENIX安全会议杰出论文奖,2024年ACM FSE会议杰出论文奖,ACM China SIGSAC 优秀博士论文奖。另带队获得第二届中国研究生网络安全创新大赛一等奖(并获优秀指导教师)。