软件漏洞严重性可以帮助测试开发人员合理地分配有限的资源,优先修复更加严重的漏洞。然而,漏洞的发布和严重性的人工评估之间存在时间滞后,可能会导致“零日攻击”问题。因此,利用漏洞描述、源代码等信息自动、及时、准确地预测软件漏洞严重性具有一定的现实意义。现有方法存在以下问题:（1）每个项目的CVE漏洞描述数据量少,且不同项目的漏洞描述语言风格差异较大;（2）忽略了多个CVSS漏洞特征之间的共享信息;（3）在某些应用场景下缺少漏洞描述或漏洞描述不准确,只存在漏洞源代码数据;（4）漏洞描述和相应漏洞源代码的双模态漏洞数据利用不充分。针对仅有漏洞描述的应用场景,为了缩小不同项目之间的数据分布差异,缓解单项目训练数据不足的问题,本文分别采用了域适应神经网络、深度域混淆模型和深度适应网络等迁移学习模型提取CVE漏洞描述中的特征,再进行严重性评估。此外,本文额外引入了多任务学习的方法联合学习7种漏洞特征,以充分利用不同漏洞特征间的共享信息,降低模型过拟合的风险。实验证明,本文提出的方法提升了跨项目软件漏洞严重性预测任务的性能。针对缺少漏洞描述或漏洞描述不准确的应用场景,本文分别采用了基于代码数据增强和代码预训练的方法对源代码进行表示,挖掘漏洞代码中的语义信息,用于预测软件漏洞的严重性。实验证明,本文提出的方法有效地解决了漏洞代码数据量少、特征表示困难的问题。针对既有漏洞描述又有相应源代码的应用场景,为了充分利用双模态数据中的漏洞信息,本文采用在自然语言-编程语言语料库上预训练的Code BERT模型对漏洞描述和相应源代码进行表示,并通过双模态特征融合学习统一的漏洞特征。实验证明,与单模态数据相比,从双模态数据中可以学习到更加丰富的漏洞特征,从而有效地提升软件漏洞严重性预测的性能。