IEEE安全與隱私研討會
| IEEE安全與隱私研討會 | |
|---|---|
| 縮寫 | IEEE S&P、IEEE SSP |
| 學科領域 | 計算機安全與隱私 |
| 出版詳情 | |
| 出版商 | 電氣電子工程師學會(IEEE) |
| 歷史沿革 | 1980年至今 |
| 舉辦頻率 | 每年一次 |
IEEE安全與隱私研討會[1](英語:IEEE Symposium on Security and Privacy,簡稱為IEEE S&P或IEEE SSP),又稱奧克蘭會議,是一項主要研討計算機安全與隱私相關話題的學術研討會,每年舉行一次。該會議由斯坦·艾穆斯和喬治·戴維達於1980年創立,被認為是行業內的頂級會議。該會議採用單軌議程,所有報告和環節均在同一會場連續進行,確保高效的學術交流。此外,會議還採用雙盲同行評審機制,確保作者與審稿人身份互不公開,從而保證評審過程的公正性。
該會議最初只是一個讓學者們相互交流有關計算機安全與隱私的想法的小型研討會,其早期側重於理論研究。在會議早期,由於密碼學家與系統安全研究人員之間的分歧,密碼學家常選擇離開主要研討系統安全的會議。為解決這一問題,大會隨後將密碼學與系統安全的研討合併統一。2011年,由於場地規模限制,會議移至舊金山舉行。
由於該會議只採用單軌議程,因此其論文接受率較低。會議的評審流程傾向於使用多種標準來評審論文,且側重於論文的新穎性。2022年,研究人員採訪了IEEE S&P等頂級安全會議的審稿人,發現由於評審標準不一致,評審流程存在不公平現象。為解決這一問題,研究者建議為新審稿人提供培訓和指導,以提高評審一致性。
2021年,明尼蘇達大學的研究者向會議提交了一份論文,描述他們在未經機構審查委員會批准的情況下,嘗試向Linux內核植入漏洞。該論文被接受並計劃發表,但遭到Linux內核社區的嚴厲批評。論文作者最終決定撤稿並公開道歉。此事件後,IEEE S&P承諾在評審流程中增加倫理審查步驟,並完善研究論文倫理聲明的文檔要求。
發展歷史
[編輯]該會議最初只是一個小型研討會,由研究人員斯坦·艾穆斯(Stan Ames)和喬治·戴維達(George Davida)於1980年創立,旨在探討計算機安全與隱私問題。這個研討會後來逐漸發展成該領域的大型學術集會,成為行業內的頂級會議之一[2][3][1]。會議最初在加利福尼亞州伯克利克萊蒙特度假村舉行。在頭幾屆活動中,密碼學家與系統安全研究員之間存在明顯分歧:討論重理論而輕實踐。[4]這種分歧持續存在,以至於密碼學家經常在系統安全專題討論環節離席。[5]為此,後續會議落實改革,將密碼學和系統安全的研討整合至同一環節中。隨着興會人數不斷增多,會場不勝負荷;2011年因場地限制,會議移師至舊金山舉辦。[4]
結構
[編輯]IEEE安全與隱私研討會徵集同計算機安全和隱私相關的廣泛主題的論文,會議的程序主席會每年發表一份大會重點徵稿主題列表,該列表會追隨行業的最新發展趨勢進行變更。IEEE安全與隱私研討會過去也曾接收過如Web安全、網絡霸凌、區塊鏈安全、硬件安全、惡意軟件分析和人工智能等主題的論文[6]。該會議採用單軌議程,這意味着在任何一段特定時間內都只會舉行一場會議。這種模式不同於其它大多數安全和隱私會議所採用的多軌議程模式,而在多軌議程中,會有多個不同主題的會議在同一時間內舉行[4]。而提交給會議的論文也會在雙盲流程下進行評審,以確保評審的公平性[7]。不過,這種模式限制了會議可接收的論文量,導致該會議的論文接受率很低,通常在10%以下,不同於其它同類會議的15%至20%接受率[4]。2023年,IEEE安全與隱私研討會增設了研究倫理委員會,負責審查所有被提交給會議的論文是否存在倫理違規行為[8]。
2022年,一項由阿南塔·索內吉等人開展的研究表明,包括IEEE安全與隱私研討會在內的一些頂級安全會議的評審流程存在漏洞。研究者們採訪了21位審稿人,以了解他們各自在評審流程中對論文的評判標準。其中有19位審稿人將新穎性(即論文是否推動了研究問題或現有技術水平的發展)列作他們的首要評判標準。此外還有9人也看重論文內容在技術實現上的可靠性,7人則提到需要對論文進行完整且自成體系的評估,以確保論文所論及的每個方面都能夠得到充分的探討。還有6位審稿人同時看重論文在寫作上的清晰性。基於以上這些採訪所收集到的結果,研究人員發現,會議的論文審閱缺乏客觀標準,且各會議審稿人所提供的評審意見也存在有一定程度的隨機性,這是這些會議的同行評審流程中的主要問題。為解決此問題,研究者建議對新審稿人進行指導,且需要重點關注他們的評審質量,而非其它績效指標。研究者們還注意到IEEE S&P有一項允許博士生和博士後審稿人跟隨程序委員會進行觀摩審稿;但另一方面,他們也依據2017年的IEEE S&P評審流程報告指出,由於評審質量不計入他們的考核,這些學生在審閱論文時往往會比資深審稿人更加嚴苛[3]。
爭議
[編輯]2021年,一些來自明尼蘇達大學的研究者們在第42屆IEEE S&P中提交了一份題為「論通過假意提交代碼在開源軟件中秘密引入漏洞的可行性」的論文[9][10][11],他們的目的是指出Linux內核補丁審查流程中的漏洞,這篇論文被會議接受,並計劃在同年發表[11]。Linux內核是一個被廣泛使用的開源操作系統組件,其組成了Linux操作系統的核心[9]。而Linux又是如Android、SteamOS、ChromeOS等許多在消費市場中備受歡迎的操作系統的基礎[12][13]。明尼蘇達大學研究團隊採用的研究方法是,針對Linux內核中已存在的微小缺陷編寫和提交補丁,並在補丁中有意的夾帶安全漏洞並進行提交,以此向軟件引入漏洞[14]。研究人員使用化名提交了四個補丁,其中有三個被代碼審閱者發現包含惡意代碼並被拒絕[15],而第四個則通過審閱並被合併;然而,事後調查表明,由於研究人員對相關代碼的理解存在偏差,他們提交的內容實際上並非惡意代碼,而是一個正確的修復方案[16]。此次實驗並未獲得機構審查委員會的批准[17][16],而這篇論文中違背科研倫理的行為在會議的論文審查過程中也並未被發現[11]。此事最終引起Linux社區和規模更大的網絡安全社區的批評[17][18][19]。作為回應,Linux內核的主要維護者之一格雷格·克羅-哈曼禁止了涉事研究人員及明尼蘇達大學向Linux項目提交任何貢獻。論文作者及明尼蘇達大學最終撤回了這篇論文[9],並向Linux內核開發者社區道歉[10][19]。此事過後,IEEE S&P承諾在其評審流程中增加倫理審查步驟,並完善與研究論文倫理聲明相關的文檔說明[11]。
參考資料
[編輯]- ^ 1.0 1.1 IEEE安全和隐私研讨会主页. IEEE計算機學會安全和隱私技術委員會網站. 2025 [2025-07-18]. (原始內容存檔於2025-07-10).
- ^ Carver, Jeffrey C.; Burcham, Morgan; Kocak, Sedef Akinli; Bener, Ayse; Felderer, Michael; Gander, Matthias; King, Jason; Markkula, Jouni; Oivo, Markku. Establishing a baseline for measuring advancement in the science of security: An analysis of the 2015 IEEE security & privacy proceedings. Proceedings of the Symposium and Bootcamp on the Science of Security. ACM. 2016-04-19: 38–51. ISBN 978-1-4503-4277-3. doi:10.1145/2898375.2898380 (英語).
- ^ 3.0 3.1 Soneji, Ananta; Kokulu, Faris Bugra; Rubio-Medrano, Carlos; Bao, Tiffany; Wang, Ruoyu; Shoshitaishvili, Yan; Doupé, Adam. "Flawed, but like democracy we don't have a better system": The Experts' Insights on the Peer Review Process of Evaluating Security Papers. 2022 IEEE Symposium on Security and Privacy (SP). IEEE. 2022-05-01: 1845–1862. ISBN 978-1-6654-1316-9. doi:10.1109/SP46214.2022.9833581.
- ^ 4.0 4.1 4.2 4.3 Neumann, Peter G.; Peisert, Sean; Schaefer, Marvin. The IEEE Symposium on Security and Privacy, in Retrospect. IEEE Security & Privacy. 2014-05-01, 12 (3): 15–17. ISSN 1540-7993. doi:10.1109/MSP.2014.59.
- ^ Neumann, Peter G.; Bishop, Matt; Peisert, Sean; Schaefer, Marv. Reflections on the 30th Anniversary of the IEEE Symposium on Security and Privacy. 2010 IEEE Symposium on Security and Privacy. IEEE. 2010: 3–13 [2025-07-09]. ISBN 978-1-4244-6894-2. doi:10.1109/sp.2010.43. (原始內容存檔於2025-01-03).
- ^ IEEE Symposium on Security and Privacy 2023. sp2023.ieee-security.org. [2024-08-25].
- ^ IEEE Symposium on Security and Privacy 2024. sp2024.ieee-security.org. [2024-05-06]. (原始內容存檔於2025-05-12).
- ^ Message from the Program Chairs. 2023 IEEE Symposium on Security and Privacy (SP). IEEE. 2023-05-01: 34–35. ISBN 978-1-6654-9336-9. doi:10.1109/SP46215.2023.10179462.
- ^ 9.0 9.1 9.2 Chin, Monica. How a university got itself banned from the Linux kernel. The Verge. 2021-04-30 [2024-05-12] (英語).
- ^ 10.0 10.1 Salter, Jim. Linux kernel team rejects University of Minnesota researchers' apology. Ars Technica. 2021-04-26 [2024-05-12] (美國英語).
- ^ 11.0 11.1 11.2 11.3 IEEE S&P'21 Program Committee Statement Regarding The "Hypocrite Commits" Paper (PDF). IEEE SSP. 2021-05-06 [2024-08-22].
- ^ Dexter, Alan. This is why Valve is switching from Debian to Arch for Steam Deck's Linux OS. PC Gamer. 2021-08-09 [2024-08-25]. (原始內容存檔於2023-05-26) (英語).
- ^ Linux has over 3% of the desktop market? It's more complicated than that. ZDNET. [2024-08-25]. (原始內容存檔於2025-04-26) (英語).
- ^ Greg Kroah-Hartman bans University of Minnesota from Linux development for deliberately buggy patches. ZDNET. [2024-05-12] (英語).
- ^ An update on the UMN affair [LWN.net]. lwn.net. [2024-08-22]. (原始內容存檔於2025-03-05).
- ^ 16.0 16.1 Report on University of Minnesota Breach-of-Trust Incident - Kees Cook. lore.kernel.org. [2024-08-22].
- ^ 17.0 17.1 The Linux Foundation's demands to the University of Minnesota for its bad Linux patches security project. ZDNET. [2024-05-12] (英語).
- ^ Intentionally buggy commits for fame—and papers [LWN.net]. lwn.net. [2024-08-22].
- ^ 19.0 19.1 University of Minnesota security researchers apologize for deliberately buggy Linux patches. ZDNET. [2024-08-22] (英語).