软件维护与演化过程中不可避免会引入漏洞,漏洞的产生对软件系统的运行产生一定的安全隐患,甚至会严重威胁个人隐私与财产安全,造成社会经济损失。由于漏洞数据库中缺乏漏洞的相关测试用例、堆栈跟踪等动态信息,大大增加了漏洞定位与修复的难度。然而,在开源代码库中的代码提交常常蕴含着丰富的信息,通过分析代码提交探索漏洞引入的原因以及漏洞引入提交与漏洞修复提交之间的相关性,能够为漏洞的定位与修复工作提供一种新的思路。本文从漏洞引入的角度出发,通过“漏洞修复提交中的语句可以从漏洞引入提交中修改的语句推断出来”等一系列经验研究的发现,开展基于漏洞引入提交的漏洞定位与修复技术研究。具体工作如下:（1）基于漏洞引入提交的漏洞定位技术。首先构建了漏洞引入与修复数据集,对数据集中的漏洞数据进行经验研究,根据经验研究的发现定义了三个特征,即提取引入提交中被修改的语句;从引入提交修改语句中的变量名和方法名中分离出关键字,然后提取漏洞引入提交中带有关键字的语句;在涉及漏洞引入提交的文件中提取if语句。三个特征中提取的语句组成了可疑语句空间。然后,对可疑语句空间中的语句进行赋值后输入到训练好的排序学习模型中,最后输出排序列表。实验结果表明,VulLoc在效果与效率两方面都优于现有的方法。（2）基于漏洞引入提交的漏洞修复技术。首先进一步地探索漏洞引入与修复提交中的修复成分的变化,得出一些漏洞修复可以从漏洞引入提交中推断出来等发现。接着将漏洞修复提交转换成抽象语法树,进行抽象化与规范化处理后转换为token序列输入到Transformer模型中,通过Beam Search得到预测序列。然后,通过经验研究发现定义的规则进行抽象化与规范化的代码填充后,进行补丁验证。实验结果表明,此方法与只使用Transformer模型的漏洞修复技术相比,切实提升了漏洞修复的效果,并在CWE-119（内存缓冲区范围内不适当的操作限制）漏洞类型中的效果最佳。（3）基于提出的理论技术,设计并实现了面向漏洞的定位与修复系统。该系统包括漏洞管理、漏洞定位以及漏洞修复三个模块,旨在通过此系统帮助开发人员更加高效快速地完成软件维护工作,保障软件的安全。