Discussion :

[Axel Lecomte]

Microsoft a mis au point une IA qui peut différencier les bugs dans 99 % des cas,
et qui arrive à mesurer la gravité de 97 % des problèmes de sécurité

Microsoft annonce avoir créé une IA capable d'aider les développeurs à résoudre différents bugs qui impactent la fonctionnalité d'un logiciel. « Nous avons découvert qu'en associant des modèles d'apprentissage automatique à des experts en sécurité, nous pouvons considérablement améliorer l'identification et la classification des bogues de sécurité », expliquent en effet Scott Christiansen et Mayana Pereira, de Microsoft.

Et cet outil semble être efficace d'après la société. « 47 000 développeurs génèrent près de 30 000 bogues par mois. Ces éléments sont stockés dans plus de 100 référentiels AzureDevOps et GitHub. Pour mieux étiqueter et hiérarchiser les bugs à cette échelle, nous ne pouvions pas simplement appliquer plus de personnes au problème. Cependant, de grands volumes de données semi-organisées sont parfaits pour l'apprentissage automatique », notent les deux auteurs du billet de blog.

Pour créer l'IA, Microsoft s'est basé sur les 13 millions d'éléments de travail et de bugs qu'il a collectés. Résultats : l'outil est capable faire la distinction entre les bugs de sécurité et ceux non liés à la sécurité avec un taux de réussite de 99 %, et il peut identifier avec précision les « problèmes de sécurité critiques et hautement prioritaires » dans 97 % des cas. « Ce niveau de précision nous donne la certitude que nous détectons plus de failles de sécurité avant qu'elles ne soient exploitées », est-il indiqué dans le blog, qui ajoute d'ailleurs que la méthodologie sera disponible sur GitHub.

Plus précisément, le système d'apprentissage a été conçu pour distinguer les bugs de sécurité et évaluer leur niveau de gravité. « Pour ce faire, nous avions besoin d'un volume élevé de bonnes données. Dans l'apprentissage supervisé, les modèles d'apprentissage automatique apprennent à classer les données à partir de données pré-étiquetées », soulignent Scott Christiansen et Mayana Pereira.

« Notre système de classification doit fonctionner comme un expert en sécurité, ce qui signifie que l'expert en la matière est aussi important pour le processus que le data scientist. Pour atteindre notre objectif, les experts en sécurité ont approuvé les données de formation avant de les alimenter dans le modèle d'apprentissage automatique. Nous avons utilisé l'échantillonnage statistique pour fournir aux experts en sécurité une quantité gérable de données à examiner. Une fois le modèle opérationnel, nous avons fait revenir les experts en sécurité pour évaluer le modèle en production », abondent-ils.

Par ailleurs, Microsoft n'est pas la première entreprise qui a mis au point un tel outil. Amazon a par exemple développé CodeGuru, un outil qui peut détecter les fuites de ressources et des cycles de processeur gaspillés. De son côté, Facebook a mis au point SapFix, une IA qui génère des correctifs avant de les envoyer aux ingénieurs pour approbation. La firme de Mark Zuckerberg a également mis au point Zoncolan, qui détecte notamment les problèmes de sécurité ou de confidentialité, dans le but d'aider les ingénieurs en sécurité.

Source : Microsoft

Et vous ?

Que pensez-vous de cet outil de Microsoft ?

Voir aussi :

Microsoft ouvre une école dédiée à l'IA en partenariat avec Pôle Emploi, avec à la clé un contrat de professionnalisation d'un an dans ce domaine
Microsoft investit 1 Md$ dans OpenAI, la société fondée par Elon Musk, qui tente de développer une IA, semblable à l'intelligence humaine
Microsoft veut développer des solutions basées sur l'IA pour prédire la probabilité qu'un ordinateur soit infecté, par un logiciel malveillant
Intelligence artificielle : Amazon, Microsoft ou Intel seraient en bonne place pour la création potentielle de "Skynet", d'après une étude
IA : Google montre que les réseaux neuronaux sont capables de créer leur propre chiffrement, pour empêcher leurs communications d'être écoutées

[defZero]

Que pensez-vous de cet outil de Microsoft ?

Que si cela fonctionnait, alors les patch de sécurité de MS devraient disparaitre, non ?
Le problème avec ces outils de détections "intelligent", c'est qu'ils ne détectent pour l'heure, que ce qu'ils sont programmés à détecter et ils ne sont donc pas vraiment "intelligent".
Le débogage automatique selon des modèles, on sait le faire depuis les années 70 et ça n'as jamais permit d'éliminer complétement les bugs.
Alors évidemment, les langages de l'époque n'aidaient pas vraiment la "détection", mais le C et le C++ sont de ceux là et ils sont les plus susceptibles de nécessiter de tels outils.
Par contre ces outils ont toujours couté très cher .

[LeBressaud]

L'objectif de l'outil c'est de classer les bugs déjà remontés et de détecter ceux qui peuvent correspondre à une faille de sécurité, pas de faire de l'analyse de code.