IEEE安全与隐私研讨会
| IEEE安全与隐私研讨会 | |
|---|---|
| 缩写 | IEEE S&P、IEEE SSP |
| 学科领域 | 计算机安全与隐私 |
| 出版详情 | |
| 出版商 | 电气电子工程师学会(IEEE) |
| 历史沿革 | 1980年至今 |
| 举办频率 | 每年一次 |
IEEE安全与隐私研讨会(英語:IEEE Symposium on Security and Privacy,简称为IEEE S&P或IEEE SSP),又称奥克兰会议,是一项主要研讨计算机安全与隐私相关话题的學術研討會,每年举行一次。该会议由斯坦·艾穆斯和乔治·戴维达于1980年创立,被认为是行业内的顶级会议[1][2]。该会议采用单轨议程,所有报告和环节均在同一会场连续进行,确保高效的学术交流。此外,会议还采用双盲同行评审机制,确保作者与审稿人身份互不公开,从而保证评审过程的公正性。
该会议最初只是一个让学者们相互交流有关计算机安全与隐私的想法的小型研讨会,其早期侧重于理论研究。在会议早期,由于密码学家与系统安全研究人员之间的分歧,密码学家常选择离开主要研讨系统安全的会议。为解决这一问题,大会随后将密码学与系统安全的研讨合并统一。2011年,由于场地规模限制,会议移至旧金山举行。
由于该会议只采用单轨议程,因此其论文接受率较低。会议的评审流程倾向于使用多种标准来评审论文,且侧重于论文的新颖性。2022年,研究人员采访了IEEE S&P等顶级安全会议的审稿人,发现由于评审标准不一致,评审流程存在不公平现象。为解决这一问题,研究者建议为新审稿人提供培训和指导,以提高评审一致性。
2021年,明尼苏达大学的研究者向会议提交了一份论文,描述他们在未经机构审查委员会批准的情况下,尝试向Linux内核植入漏洞。该论文被接受并计划发表,但遭到Linux内核社区的严厉批评。论文作者最终决定撤稿并公开道歉。此事件后,IEEE S&P承诺在评审流程中增加伦理审查步骤,并完善研究论文伦理声明的文档要求。
发展历史
[编辑]该会议最初只是一个小型研讨会,由研究人员斯坦·艾穆斯(Stan Ames)和乔治·戴维达(George Davida)于1980年创立,旨在探讨计算机安全与隐私问题。这个研讨会后来逐渐发展成该领域的大型学术集会。会议最初在加利福尼亚州伯克利克莱蒙特度假村举行。在頭几届活动中,密码学家与系统安全研究员之间存在明显分歧:讨论重理论而轻实践。[3]这种分歧持续存在,以至於密码学家经常在系统安全专题讨论环节离席。[4]为此,后续会议落實改革,将密码学和系统安全的研讨整合至同一环节中。随着興会人數不断增多,會場不勝負荷;2011年因场地限制,会议移師至旧金山举办。[3]
结构
[编辑]IEEE安全与隐私研讨会征集同计算机安全和隐私相关的广泛主题的论文,会议的程序主席会每年发表一份大会重点征稿主题列表,该列表会追随行业的最新发展趋势进行变更。IEEE安全与隐私研讨会过去也曾接收过如Web安全、网络霸凌、区块链安全、硬件安全、恶意软件分析和人工智能等主题的论文[5]。该会议采用单轨议程,这意味着在任何一段特定时间内都只会举行一场会议。这种模式不同于其它大多数安全和隐私会议所采用的多轨议程模式,而在多轨议程中,会有多个不同主题的会议在同一时间内举行[3]。而提交给会议的论文也会在双盲流程下进行评审,以确保评审的公平性[6]。不过,这种模式限制了会议可接收的论文量,导致该会议的论文接受率很低,通常只有个位数,不同于其它同类会议的15%至20%接受率[3]。2023年,IEEE安全与隐私研讨会增设了研究伦理委员会,负责审查所有被提交给会议的论文是否存在伦理违规行为[7]。
2022年,一项由阿南塔·索内吉等人开展的研究表明,包括IEEE安全与隐私研讨会在内的一些顶级安全会议的评审流程存在漏洞。研究者们采访了21位审稿人,以了解他们各自在评审流程中对论文的评判标准。其中有19位审稿人将新颖性(即论文是否推动了研究问题或现有技术水平的发展)列作他们的首要评判标准。此外还有9人也看重论文内容在技术实现上的可靠性,7人则提到需要对论文进行完整且自成体系的评估,以确保论文所论及的每个方面都能够得到充分的探讨。还有6位审稿人同时看重论文在写作上的清晰性。基于以上这些采访所收集到的结果,研究人员发现,会议的论文审阅缺乏客观标准,且各会议审稿人所提供的评审意见也存在有一定程度的随机性,这是这些会议的同行评审流程中的主要问题。为解决此问题,研究者建议对新审稿人进行指导,且需要重点关注他们的评审质量,而非其它绩效指标。研究者们还注意到IEEE S&P有一项允许博士生和博士后审稿人跟随程序委员会进行观摩审稿;但另一方面,他们也据2017年的一份报告指出,由于评审质量不计入他们的考核,这些学生在审阅论文时往往会比资深审稿人更加严苛[2]。
争议
[编辑]2021年,一些来自明尼苏达大学的研究者们在第42届IEEE S&P中提交了一份题为“论通过假意提交代码在开源软件中秘密引入漏洞的可行性”的论文[8][9][10],他们的目的是指出Linux内核补丁审查流程中的漏洞,这篇论文被会议接受,并计划在同年发表[10]。Linux内核是一个被广泛使用的开源操作系统组件,其组成了Linux操作系统的核心[8]。而Linux又是如Android、SteamOS、ChromeOS等许多在消费市场中备受欢迎的操作系统的基础[11][12]。明尼苏达大学研究团队采用的研究方法是,针对Linux内核中已存在的微小缺陷编写和提交补丁,并在补丁中有意的夹带安全漏洞并进行提交,以此向软件引入漏洞[13]。研究人员使用化名提交了四个补丁,其中有三个被代码审阅者发现包含恶意代码并被拒绝[14],而第四个则通过审阅并被合并;然而,事后调查表明,由于研究人员对相关代码的理解存在偏差,他们提交的内容实际上并非恶意代码,而是一个正确的修復方案[15]。此次实验并未获得机构审查委员会的批准[16][15],而这篇论文中违背科研伦理的行为在会议的论文审查过程中也并未被发现[10]。此事最终引起Linux社区和规模更大的网络安全社区的批评[16][17][18]。作为回应,Linux内核的主要维护者之一格雷格·克罗-哈曼禁止了涉事研究人员及明尼苏达大学向Linux项目提交任何贡献。论文作者及明尼苏达大学最终撤回了这篇论文[8],并向Linux内核开发者社区道歉[9][18]。此事过后,IEEE S&P承诺在其评审流程中增加伦理审查步骤,并完善与研究论文伦理声明相关的文档说明[10]。
参考资料
[编辑]- ^ Carver, Jeffrey C.; Burcham, Morgan; Kocak, Sedef Akinli; Bener, Ayse; Felderer, Michael; Gander, Matthias; King, Jason; Markkula, Jouni; Oivo, Markku. Establishing a baseline for measuring advancement in the science of security: An analysis of the 2015 IEEE security & privacy proceedings. Proceedings of the Symposium and Bootcamp on the Science of Security. ACM. 2016-04-19: 38–51. ISBN 978-1-4503-4277-3. doi:10.1145/2898375.2898380 (英语).
- ^ 2.0 2.1 Soneji, Ananta; Kokulu, Faris Bugra; Rubio-Medrano, Carlos; Bao, Tiffany; Wang, Ruoyu; Shoshitaishvili, Yan; Doupé, Adam. "Flawed, but like democracy we don't have a better system": The Experts' Insights on the Peer Review Process of Evaluating Security Papers. 2022 IEEE Symposium on Security and Privacy (SP). IEEE. 2022-05-01: 1845–1862. ISBN 978-1-6654-1316-9. doi:10.1109/SP46214.2022.9833581.
- ^ 3.0 3.1 3.2 3.3 Neumann, Peter G.; Peisert, Sean; Schaefer, Marvin. The IEEE Symposium on Security and Privacy, in Retrospect. IEEE Security & Privacy. 2014-05-01, 12 (3): 15–17. ISSN 1540-7993. doi:10.1109/MSP.2014.59.
- ^ Neumann, Peter G.; Bishop, Matt; Peisert, Sean; Schaefer, Marv. Reflections on the 30th Anniversary of the IEEE Symposium on Security and Privacy. 2010 IEEE Symposium on Security and Privacy. IEEE. 2010: 3–13 [2025-07-09]. ISBN 978-1-4244-6894-2. doi:10.1109/sp.2010.43. (原始内容存档于2025-01-03).
- ^ IEEE Symposium on Security and Privacy 2023. sp2023.ieee-security.org. [2024-08-25].
- ^ IEEE Symposium on Security and Privacy 2024. sp2024.ieee-security.org. [2024-05-06]. (原始内容存档于2025-05-12).
- ^ Message from the Program Chairs. 2023 IEEE Symposium on Security and Privacy (SP). IEEE. 2023-05-01: 34–35. ISBN 978-1-6654-9336-9. doi:10.1109/SP46215.2023.10179462.
- ^ 8.0 8.1 8.2 Chin, Monica. How a university got itself banned from the Linux kernel. The Verge. 2021-04-30 [2024-05-12] (英语).
- ^ 9.0 9.1 Salter, Jim. Linux kernel team rejects University of Minnesota researchers' apology. Ars Technica. 2021-04-26 [2024-05-12] (美国英语).
- ^ 10.0 10.1 10.2 10.3 IEEE S&P'21 Program Committee Statement Regarding The "Hypocrite Commits" Paper (PDF). IEEE SSP. 2021-05-06 [2024-08-22].
- ^ Dexter, Alan. This is why Valve is switching from Debian to Arch for Steam Deck's Linux OS. PC Gamer. 2021-08-09 [2024-08-25]. (原始内容存档于2023-05-26) (英语).
- ^ Linux has over 3% of the desktop market? It's more complicated than that. ZDNET. [2024-08-25]. (原始内容存档于2025-04-26) (英语).
- ^ Greg Kroah-Hartman bans University of Minnesota from Linux development for deliberately buggy patches. ZDNET. [2024-05-12] (英语).
- ^ An update on the UMN affair [LWN.net]. lwn.net. [2024-08-22]. (原始内容存档于2025-03-05).
- ^ 15.0 15.1 Report on University of Minnesota Breach-of-Trust Incident - Kees Cook. lore.kernel.org. [2024-08-22].
- ^ 16.0 16.1 The Linux Foundation's demands to the University of Minnesota for its bad Linux patches security project. ZDNET. [2024-05-12] (英语).
- ^ Intentionally buggy commits for fame—and papers [LWN.net]. lwn.net. [2024-08-22].
- ^ 18.0 18.1 University of Minnesota security researchers apologize for deliberately buggy Linux patches. ZDNET. [2024-08-22] (英语).