https://blog.qife122.com/tags/%E8%AF%AD%E4%B9%89%E6%8C%87%E7%BA%B9/ Recent content in 语义指纹 on 办公AI智能小助手 Hugo zh-cn qife Mon, 08 Sep 2025 14:57:39 +0800 https://blog.qife122.com/p/%E5%A4%A7%E8%A7%84%E6%A8%A1%E4%BB%A3%E7%A0%81%E6%8A%84%E8%A2%AD%E6%A3%80%E6%B5%8B%E5%88%A9%E5%99%A8vendetect%E8%AF%AD%E4%B9%89%E6%8C%87%E7%BA%B9%E4%B8%8E%E7%89%88%E6%9C%AC%E6%8E%A7%E5%88%B6%E5%8F%8C%E7%AE%A1%E9%BD%90%E4%B8%8B/ Mon, 08 Sep 2025 14:57:39 +0800 https://blog.qife122.com/p/%E5%A4%A7%E8%A7%84%E6%A8%A1%E4%BB%A3%E7%A0%81%E6%8A%84%E8%A2%AD%E6%A3%80%E6%B5%8B%E5%88%A9%E5%99%A8vendetect%E8%AF%AD%E4%B9%89%E6%8C%87%E7%BA%B9%E4%B8%8E%E7%89%88%E6%9C%AC%E6%8E%A7%E5%88%B6%E5%8F%8C%E7%AE%A1%E9%BD%90%E4%B8%8B/ <h1 id="大规模检测代码复制的vendetect工具---trail-of-bits博客">大规模检测代码复制的Vendetect工具 - Trail of Bits博客</h1> <p>Evan Sultanik<br> 2025年7月21日<br> 工具发布, 研究实践</p> <h2 id="无人谈论的代码复用问题">无人谈论的代码复用问题</h2> <p>在安全评估过程中，我们经常遇到包含其他项目复制粘贴代码块的代码库。有时是合法的代码复用，但往往并非如此。问题远比许可证违规更严重：</p> https://blog.qife122.com/p/%E5%A4%A7%E8%A7%84%E6%A8%A1%E6%A3%80%E6%B5%8B%E4%BB%A3%E7%A0%81%E6%8A%84%E8%A2%ADvendetect%E5%B7%A5%E5%85%B7%E8%A7%A3%E6%9E%90/ Wed, 03 Sep 2025 22:51:50 +0800 https://blog.qife122.com/p/%E5%A4%A7%E8%A7%84%E6%A8%A1%E6%A3%80%E6%B5%8B%E4%BB%A3%E7%A0%81%E6%8A%84%E8%A2%ADvendetect%E5%B7%A5%E5%85%B7%E8%A7%A3%E6%9E%90/ <h1 id="大规模检测代码抄袭vendetect工具解析">大规模检测代码抄袭：Vendetect工具解析</h1> <h2 id="无人谈论的代码复用问题">无人谈论的代码复用问题</h2> <p>在安全评估中，我们经常遇到包含其他项目复制粘贴代码的代码库。有时是合法的代码复用，但往往并非如此。问题比许可证违规更严重：</p> <ul> <li><strong>安全债务悄然累积</strong>：当开发者从OpenSSL复用函数或复制OpenZeppelin的智能合约工具时，他们会继承代码中的潜在漏洞。但若不跟踪源版本，在CVE发布时无法确定是否受影响。</li> <li><strong>归属信息消失</strong>：我们看到过专有代码库包含整个开源库但删除了版权声明。无论恶意还是意外，都会产生法律责任。</li> <li><strong>更新从未发生</strong>：复用的代码停滞不前。原始项目修复漏洞和添加功能，但复制版本却逐渐腐化。</li> </ul> <h2 id="vendetect的工作原理">Vendetect的工作原理</h2> <p>Vendetect实现了Winnowing算法，与斯坦福MOSS抄袭检测器相同，但在实际软件工程需求上进行了适配。</p>