移动软件工程是软件工程领域中一个新兴,热门且重要的研究领域,其主要关注传统软件工程方法论(概念、方法、工具、模型与编程方式)在移动软件系统(比如android,ios,以及以openharmony为代表的新兴移动生态)中的应用。相关研究人员从安全和隐私分析、应用程序质量保证、应用程序商店分析等诸多方面为该领域做了大量的工作。
本次论坛关注移动智能终端、移动app和小程序的安全和质量等方面的突破性、创新性研究进展和成果,并重点讨论移动软件工程未来的发展趋势和方向。
01
论坛组织委员会
黎立(北京航空航天大学)
王浩宇(华中科技大学)
王璐 (西安电子科技大学)
谢涛(北京大学)
02
论坛议程
03
论坛报告嘉宾简介
xiapu luo
报告题目:uncovering the unprotected components of android against overlay attack
报告摘要:
overlay is a notable user interface feature in the android system, which allows an app to draw over other apps' windows. while overlay enhances user experience and allows concurrent app interaction, it has been extensively abused for malicious purposes, such as "tapjacking", leading to so-called overlay attacks. in order to combat this threat, google introduced a dedicated window flag to protect critical system apps' windows against overlay attacks. unfortunately, the adequacy of such protection in the android system remains unstudied, with a noticeable absence of clear usage guidelines. in this talk, we will introduce our systematic study on the unprotected windows of system apps against overlay attacks.
报告人简介:
xiapu luo is a professor at the department of computing and the director of research centre for blockchain technology of the hong kong polytechnic university. his research focuses on blockchain and smart contracts security, mobile and iot security, network security and privacy, and software engineering with a number of papers published in top-tier security, software engineering, and networking venues. his research led to more than 10 best/distinguished paper awards, including four acm sigsoft distinguished paper awards in icse'24, internetware'24, issta'22 and icse'21, best paper award in infocom'18, best research paper award in issre'16, etc. and several awards from the industry. he received the bochk science and technology innovation prize (fintech) for his contribution to blockchain security. he regularly serves in the program committees of top security and software engineering conferences and received top reviewer award from ccs'22 and distinguished tpc member award from infocom'23 and infocom'24. he is currently an associate editor for ieee/acm transactions on networking (ton), ieee transactions on dependable and secure computing (tdsc) and acm transactions on privacy and security (tops).
黎立
报告题目:方舟分析器:openharmony应用程序分析实践
报告摘要:
作为移动生态的重要一员,移动应用中曾出现过的软件工程问题(比如安全问题、性能缺陷、功能缺陷、兼容性等)在openharmony应用中同样存在。但是,openharmony所采用的技术栈(基于全新的arkts语言)与android和ios均不相同,针对当前移动生态构建的程序分析工具(比如针对android世界的soot)并不能直接用于openharmony应用分析。为此,我们自研方舟分析器(arkanalyzer),对标安卓世界的soot,为鸿蒙应用开发者和研究人员提供面向arkts语言的通用静态代码分析能力。本次报告将聚焦方舟分析器,介绍其设计理念与实现细节,并讨论其在助力openharmony应用高效开发以及质量确保等方面的应用实践。
报告人简介:
黎立,北京航空航天大学教授,国家级青年人才,荣获2024年ieee tcse新星奖(首位华人),2023年acm北京新星奖,2023年msr ric holt青年研究成就奖,2020年澳大利亚研究理事会优秀青年研究奖。曾被评为全球前三最具影响力的青年软件工程研究人员。研究兴趣为智能软件分析,累计发表高水平期刊和会议论文150余篇,谷歌学术引用超8000次(h-index为46),获得最佳/杰出论文奖励近10项,包括2项acm sigsoft杰出论文奖、2项ieee tcse杰出论文奖、1项acm sigplan杰出论文奖等。受邀担任中科院一区期刊(acm computing survey)编委以及包括tosem、tse、icse、esec/fse、ase、issta在内的ccf a类期刊和国际会议的审稿人,多次受邀在国际会议上作特邀报告。
孙波
报告题目:openharmony应用自动化测试框架
报告摘要:
应用自动化测试应用广泛,如可靠性测试、性能测试,动静结合的程序分析均需要借助自动化测试的能力。但openharmony设备和应用有别于android/ios的独特设计,为此,我们自研openharmony应用自动化测试框架(haptest),对标droidbot,为应用开发者和研究员提供hap应用自动化测试能力。本次报告聚集haptest,介绍其设计架构和实现细节,包括基于arkts插桩、基于arkui的utg设计,并讨论ui自动化测试策略设计与应用。
报告人简介:
孙波,华为终端网络安全与隐私技术专家,在华为从事网络安全与隐私相关工作十余年,主要工作内容包括安全设计、隐私设计、安全编码、产品生命周期漏洞管理与应急响应。在工作期间荣获一次消费者bg总裁个人奖、两次总裁团队奖。
苏亭
报告题目:基于性质测试的移动应用软件功能正确性验证
报告摘要:
移动应用软件是一类基于图形界面、事件驱动的软件,广泛服务于我们的日常生活。然而,由于其人机交互方式多样、运行环境复杂、版本更新频繁,如何保障其质量一直是工业界和学术界关心的研究问题。在过去的十余年,自动化ui测试技术作为一种有效的软件错误检测方法被不断完善,并逐步应用于业界实践中,取得了不错的效果。然而此类测试技术局限于崩溃错误,由于缺乏测试预言(test oracle),很难用于测试软件功能正确性。本报告将介绍我们研究小组提出的一种基于性质测试理论(property-based testing)的软件功能正确性验证方法和对应的工具;并探讨大模型(llm)在该研究问题上的应用和思考。该系列研究工作已经在一些商业应用中找到了百余个核心软件功能错误。详细研究信息可参考:https://mobile-app-analysis.github.io/。
报告人简介:
苏亭,华东师范大学软件工程学院教授、系主任,曾在新加坡南洋理工/瑞士苏黎世联邦理工担任博士后研究员。主要研究方向为软件工程、程序语言和软件安全,主要聚焦在复杂软件与系统(如工控软件、网络协议、编译器/程序分析器、移动应用软件等)的质量保障方面,其相关工作发表在pldi、oopsla、ccs、s&p、icse、fse等国内外重要会议和期刊上,部分技术成果被工业界测试工具集成并投入日常使用。曾获得ccf科技成果奖技术发明一等奖、ccf-蚂蚁科研基金“优秀应用项目”奖、四项ccf-a类国际会议的acm sigsoft杰出论文奖、google教授研究奖、世界前2% 科学家(2022-23)等;其研究工作受到了中国/瑞士国家自然基金委、科技部、国内外知名科技公司的资助;获得国家级青年人才计划支持。个人凯发k8登录主页:http://tingsu.github.io/。
徐梦炜
报告题目:端侧大模型系统和服务
报告摘要:
大语言模型(llm)及相关多模态变体正在彻底改变电子设备的能力,支撑了个人代理等新型应用。在智能手机等端侧设备部署大语言模型是重要发展趋势,不仅保证了用户数据隐私,同时提升了服务的可用性和经济性。然而,大语言模型对内存、计算、功耗等资源的占用极高,为算法和系统设计提出了挑战。该报告将重点阐述一种面向高效端侧大模型部署的方案,称为llm-as-a-service,即由操作系统来为应用提供一个统一的llm服务,该服务通过prompt/lora等方式与应用进行交互,保证服务的可扩展性、硬件兼容性。报告中将展示我们团队在这个方向上的初步探索。
报告人简介:
徐梦炜,北京邮电大学计算机学院副教授,博士生导师。于北京大学获得本科与博士学位,入选中国科协青年人才托举工程,北京市科技新星,微软亚洲研究院“铸星计划”访问学者,普渡大学访问学者。主要研究领域为移动/边缘计算和系统软件,近些年专注于边缘场景下的机器学习系统构建与优化,相关成果发表于acm mobicom/mobisys/asplos /ieee tmc/软件学报等国内外顶级会议期刊,获usenix atc 2024最佳论文奖。主持国家自然科学基金、科技部重点研发项目课题等多个项目。
赵彦杰
报告题目:大模型辅助ui开发的挑战与机遇
报告摘要:
declarui是一个创新的声明式ui开发辅助平台,巧妙运用大模型技术优化用户界面开发流程。它致力于实现从ui设计图到代码的智能转换,主要特性包括精准的ui组件识别、清晰的页面跳转逻辑支持,以及灵活的多平台代码生成。目前,declarui已经支持react native、arkui、flutter、swiftui等主流开发框架,全面覆盖鸿蒙、ios、android等热门平台。通过独特的页面转换图技术,declarui能有效辅助开发者理解和构建复杂的多页面应用结构。初步实践表明,在多种开发场景中,declarui不仅能显著缩短开发周期,还能提升代码的一致性和质量。
报告人简介:
赵彦杰,华中科技大学网络空间安全学院博士后&武汉金银湖实验室特聘研究员,博士毕业于澳大利亚莫纳什大学。研究领域集中在移动软件工程、移动安全以及大模型的应用与安全,主要目标是研发先进的算法和工具以自动检测或修复软件缺陷和漏洞。至今已经在多个高质量的期刊(如tse、tosem)和会议(如icse、ase、issta、www)上发表了多篇与移动应用程序分析相关的论文。此外,她致力于探索将大模型应用于软件工程领域的新方法,曾指导学生完成全球首篇大模型在软件工程中的应用综述相关论文并于2024年被tosem接收。
范铭
报告题目:移动应用隐私保护的合规验证
报告摘要:
随着《网络安全法》《个人信息保护法》等法律法规以及相关国家标准的不断推出,移动应用在为网民带来便捷的同时也存在大量个人信息不合规行为。本报告结合政策法规人工理解,通过历史案例分析经验,讨论合规分析中的难点和可行方案。
报告人简介:
范铭,西安交通大学网络空间安全学院副教授,博士生导师;香港理工大学、西安交通大学计算机双博士学位;承担国家自然科学基金面上项目,国家重点研发项目等10余项课题;在ieee tifs、ieee/acm icse、acm issta等国际顶级期刊会议上发表学术论文40余篇,获ieee qrs 2021, ieee issre 2016等最佳论文奖4项;获2022年教育部自然科学一等奖、2022年陕西省科协青年人才托举计划、2021年陕西省优秀博士学位论文等荣誉奖励。
周鸣一
报告题目:移动ai程序开发与部署的挑战与机遇
报告摘要:
由于近年来智能手机等移动端的运算能力显著增强,越来越多的开发者开始关注将ai模型特别是大模型部署在移动端。端测ai模型不仅能避免将用户数据传输出设备端,保护用户隐私,并能在无网络连接下运行。此外,端侧模型的推理延迟相比云端模型也通常更低。但是针对端侧模型进行编译生成ai程序后进行直接部署增加了模型的攻击面,因为攻击者也能通过获取设备来无限制访问端侧ai程序,或者直接对端侧模型进行逆向工程。因此,如何解决移动ai程序开发与部署中的安全问题显得尤为重要。我们首先系统性分析了端侧ai模型的逆向工程问题,发现当今主流的端侧模型编译后的ai程序能被轻易地被逆向工程。因此,我们开发设计了多种针对端测ai程序开发合部署的防御手段,包括模型混淆、模型定制化等手段,显著提高了端侧ai程序的安全性。最后我们总结了端侧ai程序开发和部署中未来可能发展方向和机遇。
报告人简介:
周鸣一,澳大利亚蒙纳士大学博士,研究方向为软件工程、移动软件安全、ai部署以及ai编译器。作为第一作者对端测ai软件部署安全与优化领域在多个软件工程、人工智能ccf-a类顶级国际会议的main/research/technical track上发表多篇论文包括ase2024、issta2024、icse2024、issta2023、cvpr2020(oral,top5%)均在大会上作口头展示报告。现为多个国际顶级会议和期刊期刊的审稿人如 acm computing surveys、ieee transaction on software engineering、ieee transaction on software engineering、ieee signal processing letters、knowledge-based system、cvpr、iccv、eccv、accv,并在aaai2025、icse2025 artificial evaluation track等作为程序委员(program committee)。博士期间获得过谷歌会议奖学金,学院博士补充奖学金,莫那什研究生奖学金、it学院奖学金等。
04
论坛组织委员会简介
论坛主席:黎立
个人简介:
黎立,北京航空航天大学教授,国家级青年人才,荣获2024年ieee tcse新星奖(首位华人),2023年acm北京新星奖,2023年msr ric holt青年研究成就奖,2020年澳大利亚研究理事会优秀青年研究奖。曾被评为全球前三最具影响力的青年软件工程研究人员。研究兴趣为智能软件分析,累计发表高水平期刊和会议论文150余篇,谷歌学术引用超8000次(h-index为46),获得最佳/杰出论文奖励近10项,包括2项acm sigsoft杰出论文奖、2项ieee tcse杰出论文奖、1项acm sigplan杰出论文奖等。受邀担任中科院一区期刊(acm computing survey)编委以及包括tosem、tse、icse、esec/fse、ase、issta在内的ccf a类期刊和国际会议的审稿人,多次受邀在国际会议上作特邀报告。
论坛主席:王浩宇
个人简介:
王浩宇,华中科技大学网络空间安全学院教授,博士生导师,国家级青年人才,security pride团队负责人,华科网安-烽火通信网络安全联合研究中心主任,华中科技大学openharmony技术俱乐部主任。研究方向为新兴软件系统安全,近年共发表ccf-a类/csrankings顶会论文100余篇。曾三次获得ccf a类顶会最佳/杰出论文奖,北京市科技进步一等奖等三项省部级奖励。
论坛主席:王璐
个人简介:
王璐,博士,西安电子科技大学计算机科学与技术学院副教授,博士生导师,陕西省青托、陕西省优博、西电“华山人才”,ccf 高级会员,ccf 软件工程专委会秘书、系统软件专委会执行委员,ccf 首批传播大使。主要研究方向包括微服务与云原生软件、智能化运维aiops与软件测试,在icse、fse等国内外期刊与会议上发表论文40余篇,并多个会议pc及期刊审稿人,获省部级以上教学/科技奖励3项。
论坛主席:谢涛
个人简介:
北京大学讲席教授,北京大学计算机学院软件科学与工程系主任,高可信软件技术教育部重点实验室副主任,国家高等学校学科创新引智基地负责人。曾任美国伊利诺伊大学香槟分校(uiuc)计算机系正教授。当选欧洲科学院外籍院士、国际计算机学会(acm)会士、电气电子工程师学会(ieee)会士、美国科学促进会(aaas)会士、中国计算机学会(ccf)会士。曾获科学探索奖,海外杰出青年科学基金,美国国家自然科学基金青年职业奖,acm软件工程领域(sigsoft)三大国际奖项中的两项(有影响力教育工作者奖、杰出服务奖),ieee软件工程领域(tcse)杰出服务奖,软件仓库挖掘奠基性贡献奖,软件工程顶级国际会议ase 2021最有影响力论文奖等。担任中国计算机学会系统软件专委会主任,中国仿真学会自动驾驶汽车仿真测试专业委员会副主任,2020年中国计算机大会程序委员会主席,软件工程顶级国际会议icse 2021程序委员会共同主席,《软件测试、验证与可靠性(stvr)》wiley期刊联合主编等。主要研究领域包括软件工程,系统软件,软件安全,可信人工智能。
