- Il confronto
- televisori
- Microsoft ritiene che la sua intelligenza artificiale possa rilevare con precisione i bug di sicurezza
Microsoft ha annunciato di aver sviluppato un nuovo sistema in grado di distinguere correttamente tra bug software di sicurezza e non di sicurezza il 99% delle volte. Il sistema è inoltre in grado di identificare con precisione i bug di sicurezza critici e ad alta priorità in media il 97% delle volte. Microsoft ha utilizzato un set di dati di 13 milioni di elementi di lavoro e bug di 47,000 dei suoi sviluppatori archiviati nei repository AzureDevOps e GitHub per sviluppare un processo e un modello di machine learning che distingua correttamente tra bug di sicurezza e non di sicurezza nei prossimi mesi. , la società prevede di rendere open source la metodologia su GitHub, nonché modelli di esempio e altre risorse in modo che il sistema possa essere utilizzato per assistere esperti umani. Nello sviluppo del loro modello, gli esperti di sicurezza hanno approvato i dati di addestramento e il campionamento statistico utilizzati per fornire loro una quantità gestibile di dati da esaminare. Questi dati sono stati codificati in rappresentazioni chiamate vettori di funzionalità quando i ricercatori Microsoft hanno progettato il sistema utilizzando un processo in due fasi. Il modello ha prima imparato a classificare i bug di sicurezza e non di sicurezza, quindi ha imparato ad applicare etichette di sicurezza (critico, importante o a basso impatto) a questi bug.
Identifica i bug di sicurezza.
Per effettuare previsioni di errore, il modello Microsoft utilizza due tecniche. Il primo è un approccio di recupero delle informazioni chiamato algoritmo Reverse Document Frequency Frequency (TF-IDF) che identifica il numero di volte in cui una parola ricorre in un documento, quindi controlla la rilevanza della parola in una raccolta di titoli. . Secondo Microsoft, i titoli degli errori sono generalmente piuttosto brevi e contengono circa 10 parole. La seconda tecnica utilizzata dal gigante del software è un modello di regressione logistica che utilizza una funzione logistica per modellare la probabilità che una determinata classe o evento esista. Nel suo post sul blog che annunciava il nuovo sistema, Microsoft ha spiegato come ha utilizzato modelli di apprendimento automatico ed esperti di sicurezza per identificare meglio i bug di sicurezza, affermando: "Ogni giorno, gli sviluppatori di software correggono un lungo elenco di funzionalità e bug che devono essere corretti. Professionisti della sicurezza cercare di aiutare utilizzando strumenti automatizzati per dare priorità ai bug di sicurezza, ma troppo spesso gli ingegneri perdono tempo con falsi positivi o perdono una vulnerabilità di sicurezza critica che è stata classificata erroneamente.Per risolvere questo problema, i team di data science e sicurezza si sono uniti per esplorare come la macchina l'apprendimento potrebbe aiutare. Abbiamo scoperto che combinando modelli di apprendimento automatico con esperti di sicurezza, possiamo migliorare significativamente l'identificazione e la classificazione dei bug di sicurezza." Il nuovo sistema di rilevamento dei bug di Microsoft è già stato implementato nella sua produzione interna e viene anche continuamente riciclato con i dati approvati dagli esperti di sicurezza dell'azienda che monitorano il numero di bug generati durante lo sviluppo del software. Tramite VentureBeat