Microsoft ha sviluppato un sistema che, a suo dire, è in grado di distinguere bug software legati o no alla sicurezza, con una accuratezza che arriva al 99%, e in grado di identificare bug critici o ad alta priorità di sicurezza con una accuratezza che arriva in media al 97%.
La metodologia sarà proposta come open-source su GitHub insieme a modelli di esempio e altre risorse. Il sistema è stato addestrato con un dataset di 13 milioni di progetti e bug segnalati da 47.000 sviluppatori su repository AzureDevOps e GitHub, e potrebbe essere sfruttato a supporto dei lavori di esperti umani. L’azienda Coralogix stima che gli sviluppatori creano mediamente 70 bug ogni 1000 linee di codice, e sviluppare un fix per ogni bug richiede 30 volte più tempo rispetto ad ogni linea di codice interessata. Solo gli Stati Uniti, riferisce VentureBeat, spendono ogni anno 113 miliardi di dollari per individuare e sistemare difetti nei prodotti.
Esperti specializzati in sicurezza hanno predisposto i dati per il training dell’IA e campionamenti statistici sono stati usati per fornire agli esperti una rappresentazione statistica dei dati da esaminare. I dati sono stati codificati in rappresentazioni denominate “caratteristiche vettoriali”, e i ricercatori Microsoft hanno progettato il sistema usando un processo a due fasi. Prima di tutto, il modello è stato addestrato a classificare bug che riguardano e non riguardano la sicurezza, poi ha imparato a etichettare questi in base alla loro gravità : critico, importante, a basso impatto. Il modello di Microsoft si avvale di due tecniche per le previsioni sui bug: la prima è denominata TF-IDF (term frequency–inverse document frequency), una funzione utilizzata in information retrieval per misurare l’importanza di un termine rispetto ad un documento o ad una collezione di documenti; la seconda tecnica è il modello della regressione logistica per stabilire la probabilità con cui un’osservazione può generare altri valori.
Senza entrare troppo nei dettagli tecnici, Microsoft fa sapere che sta sfruttando internamente l’IA, continuando l’addestramento con la collaborazione di esperti di sicurezza che monitorano gli inevitabili bug generati nella fase di sviluppo software. Microsoft non è l’unica azienda a sfruttare tecnologie simili per individuare bug: il servizio CodeGuru di Amazon è stato in parte addestrato con la revisione di codice e su app sviluppate internamente da Amazon ed è in grado di individuare l’uso eccessivo di risorse e nella gestione dei cicli della CPU. Anche Facebook ha sviluppato un tool denominato SapFix in grado di generare fix per bug da segnalare agli ingegneri. Un diverso strumento denominato Zoncolan è in grado di mappare comportamenti e funzionalità del codice individuando potenziali problemi in diverse sezioni e nell’interazione dei vari percorsi delle app.
Per tutti gli articoli di macitynet che parlano di Intelligenza Artificiale fate riferimento a questo indirizzo.
