软件工程产业论坛

---

华为软件的形态多样，覆盖了从ICT产品、终端、云和车等多种多样的软件。软件形态的多样性对华为软件工程的发展造成了独特的挑战。当前华为累积了海量的软件资产（例如近千亿行代码），如何对海量资产进行治理是当前一大重大挑战。此外，华为拥有大几万的软件工程师，如何利用各种自动化和智能化技术提升软件工程师的能力也是当前遇到的重大挑战。

本次论坛邀请华为软件工程专家，就华为软件工程遇到的挑战与学术界专家进行研讨，从提升软件智能、代码智能和人机智能共同探讨下一代软件工程自主技术栈。

论坛组织委员会：

夏 鑫（华为软件工程应用技术实验室）

论坛主持人：

孙剑文（华为软件工程应用技术实验室）

论坛支持单位：

华为技术有限公司

日程安排：

时间：2021年12月25日（星期六），14:00~18:00

论坛议程：

论坛主席与主持人介绍：

论坛主席：夏鑫

简介： 夏鑫，目前担任华为软件工程应用技术实验室主任。 他的研究方向是智能软件工程、软件仓库挖掘和经验软件工程。夏鑫至今发表了230多篇期刊和会议论文，其中包括76篇CCF A类期刊和会议长文。部分论文获得国际会议最佳/杰出论文奖项，包括6篇ACM SIGSOFT 杰出论文奖（ASE 2018-2021， ICPC 2018和2020）。此外他担任了MSR和SANER会议的Steering Committee，多个国际会议的PC (ICSE，ESEC/FSE, ASE等)，以及参与组织了多个国际会议（ICSE 2023， ASE 2020-2021，ICSME 2020, SANER 2019-2020和2023等）。更多信息在https://xin-xia.github.io/

主持人：孙剑文

简介： 孙剑文本科博士均就读于北京航空航天大学，曾在新加坡南洋理工大学担任博士后，目前就职于软件工程应用技术实验室，从事软件架构一致性分析及软件设计相关的工作。研究方向包括软件架构分析、智能化软件工程以及智能化软件测试。研究成果发表在国际顶级学术会议、期刊上，包括AAAI、CCS和TSG等。

论坛报告嘉宾简介：

1. 夏鑫：构建软件工程自主技术栈

摘要： 华为的软件形态多样，覆盖了从嵌入式系统到云系统等各种形态的软件，积累了海量的软件资产（例如，代码、缺陷报告、漏洞、日志、第三方库、开源数据等）。如何利用海量软件资产提升软件工程能力是当前华为遇到的重大挑战。此外，由于很多软件工程技术在不同程度上受到外部制约，我们需要积累自主可控的软件工程能力。本次报告主要介绍我们初步在构建软件工程自主技术栈方面的一些初步思考和探索。

简介： 夏鑫目前担任华为软件工程应用技术实验室主任。 他的研究方向是智能软件工程、软件仓库挖掘和经验软件工程。夏鑫至今发表了230多篇期刊和会议论文，其中包括76篇CCF A类期刊和会议长文。部分论文获得国际会议最佳/杰出论文奖项，包括6篇ACM SIGSOFT 杰出论文奖（ASE 2018-2021， ICPC 2018和2020）。此外他担任了MSR和SANER会议的Steering Committee，多个国际会议的PC (ICSE，ESEC/FSE, ASE等)，以及参与组织了多个国际会议（ICSE 2023， ASE 2020-2021，ICSME 2020, SANER 2019-2020和2023等）。更多信息在https://xin-xia.github.io/

2. 高广达：测试工程实践和挑战

摘要： 华为公司的ICT领域产品大多属于大型复杂嵌入式实时系统，对产品质量、性能、可靠性要求极高，对测试技术提出了一系列挑战。本报告主要介绍我们在测试技术方面面临的部分关键问题，我们已经做的探索，以及仍存在的待突破点，包括嵌入式系统高效插桩，通过白盒定向技术引导测试覆盖等。

简介： 高广达，华为软件测试专业组组长，数据存储与机器视觉产品线首席测试技术专家，华为20年测试工作经验，长期专注测试技术发展，在MBT（基于模型测试）、协议测试、自动化测试、开发者测试、测试设计等领域有深入探索。

3. 涂妍：走向DevSecOps必由之路—华为云服务实践介绍

摘要： DevOps在国内外各大软件企业如火如荼的进行中，变更效率倍增；与此同时,网络信息安全又给我们带来巨大挑战，在DevOps协作框架下，如何实现产品交付不减速的情况下，安全防护融入到软件全生命周期。此次重点分享华为云从DevOps到DevSecOps，云服务交付在满足效率提升、质量保障基础上构建安全可信能力的实践探索和思考。

简介： 涂妍，华为云数字化平台部研发工具域产品总监，10年+的敏捷项目管理和研发工作，华为首批金牌敏捷教练；近4年带领团队从0打造华为云DevSecOps工具链，支撑内部百+云服务安全可信的上线发布。

4. 邱栋：软件设计和方法初探

摘要： 华为公司从传统瀑布开发模式向敏捷开发模式转型的过程中，软件设计活动被逐渐弱化，导致系统设计与软件实现脱节，从而影响软件开发质量和交付效率。本报告介绍华为公司在软件设计面临的挑战，并结合行业洞察给出软件设计变革的初步思路。本次报告也希望能够联合学术的力量开展软件设计相关的研究工作，共同推动软件设计能力的提升。

简介： 邱栋，软件工程应用技术实验室技术专家，软件工程方向博士，研究方向包括智能软件工程、经验软件工程、软件架构分析、缺陷自动修复，在ESEC/FSE, ACM Computing Surveys等会议期刊上发表软件工程方向论文10+，2015年底加入华为公司。目前主要负责软件设计、架构分析等方向的研究工作。

5. 董镇山：代码检查技术实践

摘要： 代码安全是产品网络安全的基础，为有效看护产品代码的安全质量，在开发阶段，我们提供了安全编码检查服务。此次重点分享安全编码检查服务中的代码检查技术在华为内部的实践探索和思考。

简介： 董镇山，2014年加入华为，负责静态代码安全扫描工具的研发，通过代码检查平台为公司提供统一的安全编码检查服务。当前带领团队打造业界领先的静态扫描工具。

6. 张亦倩：软件白盒质量建模、评估与应用

摘要： 软件维护成本的影响因素是多方面的，业界也有很多工具对软件的复杂度进行评估，但是工具往往是针对代码的某一个或一些指标进行度量，而影响整个软件开流程的还有开发效率、软件运行成本、构建工程等等，仅关注单一指标是不全面的；白盒质量建模旨在基于多维度的数据采集和分析，给出整体的软件质量评估方法，并识别高复杂度模块，通过数据驱动有效的重构。报告将介绍白盒质量建模的设计方法，应用经验，并分享期间遇到的困难，和面临的挑战。

简介： 张亦倩，华为无线产品线基站平台软件高级工程师。2011年加入华为杭州研究所，先后参与基站算法仿真平台开发、基站OM软件开发、轻量级AI框架开发等项目。2020年开始主导软件白盒化评估工作，尝试通过白盒质量建模对于软件进行评估，并结合实际应用不断改进。

7. 程啸：开源库治理实践

摘要： 软件开发过程中，为了提高软件开发效率、增强软件质量，通常会依赖大量开源三方库，然而开源三方库各版本中难免存在各种风险（如：漏洞、许可证等），这些风险可能导致严重的安全问题，因此解决开源三方库的依赖安全问题，受到学术界与工业界格外关注。本报告从工业界角度介绍一款华为云PaaS技术创新LAB自研开源三方库管理工具，该工具利用创新LAB自研代码分析平台FossMiner挖掘构建知识库，着眼于开源三方库已知漏洞预警、三方库升级替换模式挖掘、三方库升级替换API自动适配等多个环节，提供一套自动化的开源三方库风险识别与修复解决方案。

简介： 程啸博士，2017年毕业于上海交通大学，曾分别在日本国立信息学研究所和新加坡管理大学做访问博士生，毕业后加入华为公司。主要研究方向包括开源三方库迁移、开源成分分析、代码克隆检测与一致性维护、代码搜索等，相关成果发表于ASE、SANER、ICPC等国际会议，同时发明多项专利，且落地应用于多款华为云研发工具中。曾获华为公司Cloud BU总裁奖、华为上海研究所优秀工程师“金狮奖”、BCM“烂飞机”奖等多项奖励。