近年来，开源软件供应链安全受到了越来越广泛的关注。如何保障开源软件安全成为了当前研究焦点之一。开发自动化的分析和检测算法来快速发现开源软件漏洞，可加速软件生态漏洞修复效率，提高软件供应链安全水平，有利于推动开源软件可持续发展。在此背景下，本赛题拟围绕“开源软件未知漏洞的分析与标注”进行展开，以促进开源漏洞分析与标注相关的技术发展。

赛事任务

赛题描述

• 针对常用开源软件，参赛团队可探索多种方式（包括但不限于自行开发自动化漏洞分析算法、fuzzing测试、利用可公开获取的合法开源工具、或基于开源工具进行定制化开发等方式）进行漏洞发现并将漏洞结果数据按照指定格式提交。
• 针对开源项目源代码扫描后的分析结果，参赛者需自行对结果进行确认，将原始漏洞告警、人工确认结果及对应漏洞可利用PoC（可选）提交至组委会进行评审。
• 针对已发现的漏洞，参赛选手如已通过官方渠道（如CVE、CNVD）提交并获得漏洞编号，可进行相关信息标注（可酌情加分）。
• 可利用的漏洞分析开源工具，包括但不限于：CodeQL (https://codeql.github.com/ )、 公开Fuzz工具(https://github.com/topics/fuzzing)

比赛机制

• 初赛阶段：根据参赛团队所提交的漏洞信息，评委会进行漏洞数据确认，根据各团队所发现的真实有效漏洞数据来评选出决赛团队（不多于10支）
• 决赛阶段：各决赛团队围绕各自漏洞分析过程及相关算法原理进行现场汇报与答辩，评委会根据各团队漏洞分析技术的创新性、结果有效性等维度进行综合打分并评选出获奖团队（具体决赛日程及详细规则后续刷新）。