微软声称已经开发出一种系统,在测试中区分安全漏洞和非安全漏洞准确率达99%,并且识别出关键的、高优先级的安全漏洞准确高达97%。在接下来的几个月里,微软计划在GitHub上开源这个方法,以及一些示例模型和其他资源。
据介绍,该系统是微软47, 000 名开发人员进行的 1300 万个工作项目和bug的数据集进行训练的,这些工作项目和bug数据存储在AzureDevOps和GitHub的存储库中。
Coralogix估计开发人员每写 1000 行代码就会产生 70 个错误,修复一个错误比编写一行代码要多花费 30 倍的时间;在美国,每年花费 1130 亿美元用于识别和修复产品缺陷。
首先,该模型可对安全和非安全bug进行分类,接着对bug的严重程度分等级标注为关键、重要或低影响。
微软表示,该模型已部署到内部生产环境中,并将继续使用安全专家批准的数据进行再培训。
