近日，复旦大学第十五届“学术之星”评选结果公布，共30位同学获得“学术之星”称号，其中，理工科“学术之星”10位。我实验室博士生施游堃成功获评复旦大学第十五届“学术之星”称号。

获奖者简介 PROFILE

近年来，注意到Web应用程序已充分渗透入社会生活的方方面面，以及其在推进数字化转型，建设数字中国进程中的重要地位，施游堃针对Web应用程序安全展开了全方位的研究，包括漏洞自动化检测、评估与修复技术。

研究技术在PHP、Java Web应用程序开源社区中发现超300个零日漏洞，获得264个漏洞CVE编号，其中包含远程控制目标服务器、任意订单零元支付、任意操纵他人购物车等高危漏洞，及时挽救了多个高流行度应用程序（多项Github过万stars的开源项目、Gitee最有价值开源项目等）的潜在经济损失；检测出美国国家漏洞数据库 (NVD)中超过1000处错误漏洞信息，揭露了这些错误信息对下游用户漏洞治理的严重影响；自动化地为超过750个漏洞影响版本完成了自动化的补丁迁移与漏洞修复工作，极大提升了应用程序下游用户在漏洞治理方面的效率。相关研究成果先后被网络空间安全顶级会议Usenix Security 2022（首篇在Web领域提出补丁自动化迁移的工作）、软件工程顶级会议ASE 2022、交叉综合领域顶级会议WWW 2024（5位评审，技术质量分平均6.2 / 7分）收录。

在攻读学位期间，施游堃注重个人专业技能的实践，积极参与各类国家级网络安全赛事，服务各类国家专项行动。

在网络安全竞赛方面，施游堃在数十项国家级网络安全赛事中荣膺冠军，包括第13届CISCN全国大学生信息安全竞赛，第6届XCTF国际网络攻防联赛，第3、4届全国高校网安联赛(X-NUCA)、第3届腾讯信息安全争霸赛新星邀请赛、第2、3、4届中国杭州网络安全技能大赛等。代表复旦大学在多项网安赛事中取得新突破。

在国家专项行动方面，施游堃积极参与国家部委组织的多次网络安全专项行动（如教育部牵头发起的网络安全攻防演习），并发现多项关键基础设施上的多个高危漏洞，配合相关部门完成漏洞修复工作。

在社会活动方面，施游堃的多项研究成果受到行业认可，曾多次带领团队前往阿里巴巴、华为等行业龙头企业开展实践交流，开展技术攻坚。在交流阶段，施游堃了解到企业生产环境中存在代码量巨大、漏洞模式多样、程序特征复杂、程序业务间语义存在显著差异等特点，使得业务线的网安建设面临诸多挑战。

通过与企业技术团队的深入合作，施游堃与团队成员共同在多个企业真实项目上开展研究与技术试点，通过上百次的方案修订、会议交流，有效突破了业界难题，并将所研5项技术有效应用于企业真实场景中，大幅提升了企业内部巡检平台发现与修复漏洞的能力，降低了相关业务线的人工测试、审计和运营成本，为企业降本增效做出了有效贡献。

因扎实的专业技能和突出的研究成果，施游堃经过重重选拔，入选华为天才少年计划。