微軟如何處理其47000名開發(fā)者每月產(chǎn)生的30000個(gè)bug

微軟正在詳細(xì)說明如何使用機(jī)器學(xué)習(xí)模型來處理軟件和服務(wù)中的錯(cuò)誤。 微軟高級(jí)安全程序經(jīng)理斯科特？ 軟件制造商在GitHub和Azure DevOps存儲(chǔ)庫中跟蹤這些bug，但只有傳統(tǒng)的標(biāo)簽和優(yōu)先級(jí)才能跟蹤很多問題。

微軟現(xiàn)在正在使用近20年的歷史數(shù)據(jù)，涉及1300萬個(gè)工作項(xiàng)目和bug，以創(chuàng)建一個(gè)機(jī)器學(xué)習(xí)模型，可以分離99%的安全和非安全bug。 這是一個(gè)模型，旨在幫助開發(fā)人員準(zhǔn)確地識(shí)別和優(yōu)先考慮需要修復(fù)的關(guān)鍵安全問題。

克里斯蒂安森解釋說：“我們的目標(biāo)是建立一個(gè)機(jī)器學(xué)習(xí)系統(tǒng)，將錯(cuò)誤分類為安全/非安全和關(guān)鍵/非關(guān)鍵，其準(zhǔn)確性盡可能接近安全專家。 微軟給它的機(jī)器學(xué)習(xí)模型錯(cuò)誤提供了標(biāo)簽為安全和非安全的錯(cuò)誤來訓(xùn)練它，并確保數(shù)據(jù)不會(huì)太吵。 然后，該模型學(xué)會(huì)了如何對(duì)安全缺陷進(jìn)行分類，并將嚴(yán)重程度標(biāo)簽應(yīng)用于每個(gè)缺陷，如關(guān)鍵、重要或低影響。

安全專家和數(shù)據(jù)科學(xué)家在微軟合作創(chuàng)建該模型，確保它可以在生產(chǎn)中被監(jiān)控，并確保手動(dòng)檢查錯(cuò)誤的隨機(jī)抽樣。 該模型還不斷地用微軟的安全專家審查的新數(shù)據(jù)重新訓(xùn)練。 這種機(jī)器學(xué)習(xí)模型意味著微軟現(xiàn)在99%的時(shí)間都能準(zhǔn)確地識(shí)別安全漏洞，97%的時(shí)間都能正確地給它們貼上標(biāo)簽。

對(duì)于一個(gè)像微軟這樣規(guī)模的公司來說，每月披露其開發(fā)人員產(chǎn)生的漏洞是不尋常的，更不用說它如何處理這些漏洞了。 微軟現(xiàn)在正計(jì)劃向GitHub開放其方法，允許擁有類似數(shù)據(jù)集的其他公司實(shí)現(xiàn)類似的模型。 如果你有興趣了解更多關(guān)于微軟機(jī)器學(xué)習(xí)技術(shù)的信息，公司已經(jīng)發(fā)表了一篇包含所有細(xì)節(jié)的學(xué)術(shù)論文。