摘要：TDSC 2022发表了安全补丁识别最新的方案“Enhancing Security Patch Identification by Capturing Structures in Commits” (E-SPI)。

本文分享自华为云社区《【论文推荐】TDSC2022 安全补丁识别最新的方案E-SPI》，作者： 华为云软件分析Lab。

TDSC 2022发表了安全补丁识别最新的方案“Enhancing Security Patch Identification by Capturing Structures in Commits” (E-SPI)，该方案同时考虑代码提交的Message和Changed Code的拓扑特征，通过实验表明，该方案超过了当前业界的SOTA，达到业界领先。

1. 背景知识

根据《2021年开源安全与风险分析报告》统计,平均每个代码仓含158个安全漏洞，84%的代码仓都至少存在1个安全漏洞。相比20年，21年高风险漏洞环比增长了11%。开源软件带来便利的同时，也引入了潜在的安全风险。大多数软件漏洞都在公开源组件被静默修复，这就导致集成它们的已部署软件无法及时更新，鉴于此，如何高效的识别开源组件的安全补丁成为学术界一个热门的问题。

最近几年，随着深度学习的飞速发展，基于深度学习的安全补丁识别模型快速提升了安全补丁识别模型的有效性。但是，目前大多数现有的安全补丁识别方案直接把代码提交修改的代码、提交信息当成Token，忽略了代码的结构信息，这篇文章提出了E-SPI模型，有效的利用了隐藏在提交中的结构信息，进一步提升识别模型的效果。

2. E-SPI模型架构