在刚刚结束的网络安全国际顶级会议46th IEEE Symposium on Security and Privacy(简称 IEEE S&P 2025)中,奇安信技术研究院星图实验室的研究成果在会议中进行了分享报告。
IEEE S&P 2025 共收到 1740 篇投稿,最终录用 257 篇,录用率仅为 14.8%。作为信息安全四大顶级学术会议之一,IEEE S&P 长期代表着全球网络与系统安全研究的最新进展与前沿方向,受到学术界与工业界的高度关注。
来自星图实验室的安全研究员周嘉炜同学在大会上分享了题为《Hey, Your Secrets Leaked! Detecting and Characterizing Secret Leakage in the Wild》的研究工作,聚焦软件供应链中的密钥检测技术。该成果由东南大学、奇安信技术研究院星图实验室与清华大学联合完成,由东南大学周嘉炜同学通过国家卓越工程师培养项目,在星图实验室联合培养期间主导完成。
为全面评估多平台下的密钥泄漏风险,该工作从 GitHub、PyPI 和微信小程序等主流平台采集数据,并构建了一个覆盖代码、配置、日志等多类型文件的密钥基准数据集,从而为后续研究提供了可靠的评测基础。
此外,该工作设计并实现了密钥检测系统 KEYSENTINEL。该系统在提取规则方面进行了有针对性的设计与优化:针对结构化密钥,改进了现有匹配模式;对于非结构化或人为设置的密钥,引入前缀匹配、字符串位置关系和子串特征分析等方法,提升提取的准确性。为有效降低误报率,KEYSENTINEL 采用了多层次的混合过滤机制,包括基于语法结构的完整性校验、分段熵过滤、语义分析以及基于 TextCNN 的模型识别,并结合启发式前缀过滤策略进行进一步筛选。实验结果表明,KEYSENTINEL 在检测准确率上达到 91.18%,F1 值为 0.86,显著优于现有主流工具。
最后,该工作开展了大规模、跨平台的密钥泄露测量与风险分析。通过对来自 GitHub、PyPI 和微信小程序平台的逾 8000 万个文件进行扫描分析,发现约 30% 的项目存在密钥泄露风险。进一步的版本演化分析表明,85.91% 的 PyPI 软件包在更新过程中未能清除历史密钥,暴露出版本控制和发布流程中的安全隐患。此外,该工作将 KEYSENTINEL 应用于某企业内部代码库,结果发现其中 36.5% 的密钥仍然处于有效状态,且 23.7% 的密钥存在生产与测试环境复用的情况,进一步揭示了当前实际开发流程中密钥管理存在的问题和面临的挑战。
相关研究成果已在奇安信内部系统中落地应用,有效支撑了企业级代码安全审计与风险防控。