目前微軟共有47000多名開(kāi)發(fā)人員，每月會(huì)產(chǎn)生將近30000個(gè)漏洞，而這些漏洞會(huì)存儲(chǔ)在100多個(gè)AzureDevOps和GitHub倉(cāng)庫(kù)中，以便于在被黑客利用之前快速發(fā)現(xiàn)關(guān)鍵的漏洞。

[[324003]]

微軟的高級(jí)安全項(xiàng)目經(jīng)理Scott Christiansen，大量的半策展(semi-curated)數(shù)據(jù)非常適合機(jī)器學(xué)習(xí)。自2001年以來(lái)，微軟已經(jīng)收集了1300萬(wàn)個(gè)工作項(xiàng)目和BUG。

Christiansen表示：“我們利用這些數(shù)據(jù)開(kāi)發(fā)了一個(gè)流程和機(jī)器學(xué)習(xí)模型，它能在99%的時(shí)間內(nèi)正確區(qū)分出安全和非安全漏洞，并能準(zhǔn)確識(shí)別出關(guān)鍵的、高優(yōu)先級(jí)的安全漏洞，97%的時(shí)間內(nèi)準(zhǔn)確識(shí)別出關(guān)鍵的、高優(yōu)先級(jí)的安全漏洞。”

微軟構(gòu)建的機(jī)器學(xué)習(xí)模型中，旨在幫助開(kāi)發(fā)者準(zhǔn)確識(shí)別和優(yōu)先處理需要修復(fù)的關(guān)鍵安全問(wèn)題，并對(duì)其進(jìn)行優(yōu)先級(jí)排序。Christiansen表示：“我們的目標(biāo)是建立一個(gè)機(jī)器學(xué)習(xí)系統(tǒng)，以盡可能接近安全專家的準(zhǔn)確度將BUG分為安全/非安全和關(guān)鍵/非關(guān)鍵”。

為了實(shí)現(xiàn)這個(gè)目標(biāo)，微軟對(duì)學(xué)習(xí)模型進(jìn)行了諸多培訓(xùn)，提供了很多標(biāo)記為安全的BUG以及其他標(biāo)記為不安全的BUG。該模型經(jīng)過(guò)訓(xùn)練之后，能夠基于掌握的信息來(lái)給沒(méi)有被預(yù)先分類的數(shù)據(jù)打上標(biāo)簽。