源代码中软件供应链漏洞检测：传统机器学习与量子机器学习算法的性能比较

软件供应链（Software Supply Chain, SSC）攻击随着软件开发领域的快速发展，已成为日益突出的关键安全问题之一。通常情况下，此类攻击在软件开发过程中潜伏，导致最终软件产品中存在安全漏洞，进而影响下游客户乃至相关利益方。机器学习（Machine Learning, ML）方法在检测与防范软件安全漏洞方面已被证明具有显著成效。此外，新兴的量子机器学习（Quantum Machine Learning, QML）技术在应对SSC攻击方面展现出潜在优势。鉴于传统机器学习与量子机器学习在架构与运行机制上的本质差异，模型性能可能随实验数据集比例的不同而产生显著变化。本文针对软件供应链攻击数据集ClaMP，开展量子神经网络（Quantum Neural Network, QNN）与传统神经网络（Neural Network, NN）的对比分析。研究目标在于比较QNN与NN在检测SSC攻击任务中的性能表现。为实现实验目的，我们分别基于PennyLane构建QNN模型，基于TensorFlow与Keras构建传统NN模型。通过在ClaMP数据集的不同比例下对两种模型进行评估，量化其F1分数、召回率（recall）、精确率（precision）及准确率（accuracy）等关键指标，并同步测量模型的执行时间，以评估其计算效率。实验结果表明，在数据集比例较高时，QNN的执行时间显著长于传统NN，表明当前QNN在计算效率方面仍存在瓶颈。尽管近年来量子神经网络技术取得一定进展，但要全面、准确地理解其在SSC攻击检测中的实际能力，仍需开展大规模、系统性的实验研究。因此，本研究为未来在量子机器学习应用于软件供应链安全领域的深入探索提供了基础与方向。