自從程序員Grace Murray Hopper報告早期哈佛Mark II計算機中的錯誤原因這一天以來，軟件錯誤一直是程序員關(guān)注的問題已有75年之久了：繼電器觸點之間插有飛蛾。因此，術(shù)語“ bug”誕生了。

錯誤的范圍從輕微的計算機故障到災(zāi)難。在80年代，由于缺乏經(jīng)驗的編程人員的錯誤，Therac-25放射治療設(shè)備發(fā)生故障，導(dǎo)致至少五名患者死亡。1962年，美國太空總署(NASA)的任務(wù)控制摧毀了水手I號太空探測器，因為它偏離了預(yù)定的穿越大西洋的路徑;錯誤地抄寫了手寫代碼。1982年，一個據(jù)稱后來被中央情報局植入蘇聯(lián)跨西伯利亞天然氣管道的軟件漏洞引發(fā)了歷史上最大的非核爆炸之一。

根據(jù)數(shù)據(jù)管理公司Coralogix的說法，程序員每1000行代碼產(chǎn)生70個錯誤，而每個錯誤解決方案所需的時間比最初編寫代碼要多30倍。該公司估計，美國每年在錯誤識別和修復(fù)方面的支出為1,130億美元。

因此，微軟最近宣布已經(jīng)成功創(chuàng)建了一種機器學(xué)習(xí)模型，可以準確地識別出高優(yōu)先級的安全漏洞(97%的時間)，這是可喜的消息。

微軟高級安全計劃經(jīng)理斯科特·克里斯蒂安森(Scott Christiansen)在本月初在線發(fā)布的一份報告中說：“我們發(fā)現(xiàn)，通過將機器學(xué)習(xí)模型與安全專家配對，可以顯著改善安全漏洞的識別和分類。”

該模型具有更高的成功率(99%)，可以區(qū)分安全性和非安全性錯誤。

Microsoft使用了兩種統(tǒng)計技術(shù)來設(shè)計其錯誤檢測系統(tǒng)。一種稱為術(shù)語頻率逆文檔頻率算法(TF-IDF)，它檢查大量文檔集合中的關(guān)鍵字并計算其相關(guān)性。另一個是邏輯回歸模型，它確定特定類或事件存在的概率。

該程序首先對安全和非安全錯誤進行分類，然后對其進行了改進，以將威脅程度分類為“嚴重”，“重要”或“低影響”。

克里斯蒂安森說，微軟的目標是設(shè)計一個錯誤檢測系統(tǒng)，“其準確度應(yīng)盡可能接近安全專家。”

Christiansen解釋說，該項目的關(guān)鍵突破是“即使僅提供標題進行培訓(xùn)和評分，也可以執(zhí)行錯誤報告”。

他說：“據(jù)我們所知，這是這樣做的第一項工作。”

微軟最終將其發(fā)現(xiàn)開源到GitHub上。

克里斯蒂安森說：“每天，軟件開發(fā)人員都會盯著一大堆需要解決的功能和錯誤。” “安全專家試圖通過使用自動化工具來對安全漏洞進行優(yōu)先級排序來提供幫助，但是工程師經(jīng)常會浪費時間在誤報上或錯過已被錯誤歸類的關(guān)鍵安全漏洞。為了解決這一問題，數(shù)據(jù)科學(xué)和安全團隊共同研究了如何機器學(xué)習(xí)可能會有所幫助。”