微軟如何處理其47000名開發(fā)者每月產(chǎn)生的30000個bug

微軟正在詳細說明如何使用機器學習模型來處理軟件和服務中的錯誤。 微軟高級安全程序經(jīng)理斯科特？ 軟件制造商在GitHub和Azure DevOps存儲庫中跟蹤這些bug，但只有傳統(tǒng)的標簽和優(yōu)先級才能跟蹤很多問題。

微軟現(xiàn)在正在使用近20年的歷史數(shù)據(jù)，涉及1300萬個工作項目和bug，以創(chuàng)建一個機器學習模型，可以分離99%的安全和非安全bug。 這是一個模型，旨在幫助開發(fā)人員準確地識別和優(yōu)先考慮需要修復的關鍵安全問題。

克里斯蒂安森解釋說：“我們的目標是建立一個機器學習系統(tǒng)，將錯誤分類為安全/非安全和關鍵/非關鍵，其準確性盡可能接近安全專家。 微軟給它的機器學習模型錯誤提供了標簽為安全和非安全的錯誤來訓練它，并確保數(shù)據(jù)不會太吵。 然后，該模型學會了如何對安全缺陷進行分類，并將嚴重程度標簽應用于每個缺陷，如關鍵、重要或低影響。

安全專家和數(shù)據(jù)科學家在微軟合作創(chuàng)建該模型，確保它可以在生產(chǎn)中被監(jiān)控，并確保手動檢查錯誤的隨機抽樣。 該模型還不斷地用微軟的安全專家審查的新數(shù)據(jù)重新訓練。 這種機器學習模型意味著微軟現(xiàn)在99%的時間都能準確地識別安全漏洞，97%的時間都能正確地給它們貼上標簽。

對于一個像微軟這樣規(guī)模的公司來說，每月披露其開發(fā)人員產(chǎn)生的漏洞是不尋常的，更不用說它如何處理這些漏洞了。 微軟現(xiàn)在正計劃向GitHub開放其方法，允許擁有類似數(shù)據(jù)集的其他公司實現(xiàn)類似的模型。 如果你有興趣了解更多關于微軟機器學習技術的信息，公司已經(jīng)發(fā)表了一篇包含所有細節(jié)的學術論文。