maybe_elf Apr 18 2020 at 12:43

В Microsoft модель машинного обучения выявляет 99% ошибок безопасности

2 min

3.5K

Information Security*Perfect code*SoftwareArtificial IntelligenceIT-companies

Comments 10

QtRoS Apr 18 2020 at 13:10

Делаем это с 2016 года, довольно простой и очевидный кейс применения ML…

drWhy Apr 18 2020 at 13:19

Вполне логичное решение для корпорации, уволившей команду тестировщиков, ПО которой растиражировано на миллиардах ПК и серверов, породившей немалую часть этих уязвимостей, существующих десятилетиями.

KanuTaH Apr 18 2020 at 16:41

Не знаю, как там насчёт именно поиска уязвимостей, но вот здесь :

https://habr.com/ru/company/pvs-studio/blog/496536/

была статья про сравнение статических анализаторов на основе правил (PVS-Studio) и на основе машинного обучения (DeepCode), последний как-то показал себя откровенно не очень.

libYOLOso Oct 14 2022 at 18:43

Ну еще бы в блоге PVS DeepCode показал себя хорошо. PVS-цы очень любят выставлять себя в белом пальто (и при этом все укоры в сторону их false positive ratio говорить «сами дураки раз так код пишут, что анализатор на него ругается»)

На самом деле тема очень давно известная в области статического анализа. Там очень большая проблема в наборе обучающего корпуса. Без него ML вырождается в набор эвристик, большая из которых и там анализаторами старается быть покрытой.

ML-based анализаторы в принципе могут и фиксы сами предлагать, что уже ну прям вообще никак нормально не сделать на чекерах.

-1

Andrey2008 Oct 14 2022 at 19:29

ML-based анализаторы в принципе могут и фиксы сами предлагать, что уже ну прям вообще никак нормально не сделать на чекерах.

Теоретически. Практически: Использование машинного обучения в статическом анализе исходного кода программ.

tagir_valeev Apr 18 2020 at 17:40

Что-то хоть бы один пример уязвимости, который ML-робот смог найти, а традиционные инструменты не могут. Интересно же. Без примеров статья совсем ни о чём.

uhf Apr 18 2020 at 20:16

В статье речь о том, что ИИ будет не искать новые уязвимости, а классифицировать имеющиеся отчеты об ошибках.
То есть имеется куча багрепортов, и с помощью ML пытаются определить, какие из этих ошибок могут оказаться уязвимостями, а на какие можно забить…

tagir_valeev Apr 19 2020 at 03:39

Это мешает привести пример?

mad_god Apr 19 2020 at 15:02

Случайно не Легион будет называться?

OlegZH Nov 4 2021 at 22:18

Интересно:

Почему никто не ищет причины возникновения ошибок и уязвимостей? (Ищут, но, видимо, не очень хотят исправлять...)
Почему никто не пытается найти способ получать изначально безопасный код? (Пытаются, конечно...)
Почему никто не пытается создать архитектуру программного обеспечения, которая по построению обеспечивает должный уровень безопасости? (Тут, очевидно, нужно долго и глубоко править в консерватории..)