近日,微軟詳細介紹了他們如何利用機器學習模型處理其軟件和服務中的BUG,“4.7萬開發人員每月產生近3萬個Bug,”微軟高級安全項目經理Scott Christiansen解釋道。這家軟件製造商在GitHub和AzureDevOps倉庫中跟蹤這些Bug,但僅靠傳統的標籤和優先級排序很難跟蹤這些bug。
微軟現在正在使用近20年的歷史數據、跨越1300萬個工作項目和Bug,創建了一個機器學習模型,可以以99%的準確率將安全和非安全Bug區分開來。這是一個旨在幫助開發人員準確識別和優先處理需要修復的關鍵安全問題的模型。
“我們的目標是建立一個機器學習系統,以儘可能接近於安全專家的準確度將Bug分類為安全/非安全和關鍵/非關鍵,”Christiansen解釋道。微軟向其機器學習模型提供了被標記為安全和非安全的bug來訓練它,並確保數據不會太過嘈雜。然後,該模型學習如何對安全漏洞進行分類,並對每個漏洞貼上嚴重程度標籤,如關鍵、重要或低影響等。
安全專家和數據科學家們在微軟公司合作創建了這個模型,確保在生產中可以對其進行監視,並對Bug的隨機抽樣進行人工審查。該模型還不斷地用微軟的安全專家審查的新數據對其進行重新訓練。這種機器學習模型意味著微軟現在能以99%的準確率識別出安全漏洞,並以97%的準確率正確標註漏洞。
對於微軟這樣規模的公司來說,透露其開發人員每月產生多少Bug是不尋常的,更不用說如何處理這些Bug了。微軟現在正計劃將其方法開源到GitHub上,讓其他擁有類似數據集的公司也能打造類似的模型。
分享到:
