La società statunitense di protezione informatica Acronis SCS ha collaborato con importanti accademici per migliorare il software attraverso l’uso dell’intelligenza artificiale (AI). La collaborazione ha sviluppato un modello di punteggio del rischio basato sull’intelligenza artificiale in grado di valutare quantitativamente la vulnerabilità del codice software.
Il nuovo modello ha dimostrato un miglioramento del 41% nel rilevamento di vulnerabilità ed esposizioni comuni (CVE) durante la sua prima fase di analisi. I seguenti test hanno prodotto risultati altrettanto impressionanti e Acronis SCS è impostato per condividere il modello al suo completamento.
Fornitori di software e settore pubblico
Uno degli aspetti più importanti di questa tecnologia è che può essere utilizzata da altri fornitori di software e organizzazioni del settore pubblico. Attraverso il suo utilizzo, la convalida della catena di fornitura del software può essere migliorata senza danneggiare l’innovazione o le opportunità per le piccole imprese ed è uno strumento conveniente per queste organizzazioni.
Il modello basato sull’intelligenza artificiale di Acronis SCS si basa su una rete neurale di apprendimento profondo che esegue la scansione tramite codice sorgente sia open source che proprietario. Può fornire core di rischio quantitativi imparziali che gli amministratori IT possono utilizzare per prendere decisioni accurate che coinvolgono l’implementazione di nuovi pacchetti software e l’aggiornamento di quelli esistenti.
L’azienda utilizza il modello di linguaggio per incorporare il codice. Un tipo di apprendimento profondo, il modello linguistico combina un livello di incorporamento con una rete neurale ricorrente ( RNN ). Per misurare il modello vengono utilizzate tecniche di up-sampling e algoritmi di classificazione come boosting, foreste casuali e reti neurali.
Il dottor Joe Barr è il direttore senior della ricerca di Acronis SCS.
“Usiamo il modello del linguaggio per incorporare il codice. Il modello linguistico è una forma di apprendimento profondo che combina uno strato di incorporamento con una rete neurale ricorrente (RNN) “, ha detto il dottor Barr a Unite.AI.
“L’input è costituito da coppie di funzioni (funzione, tag) e l’output è una probabilità P (y = 1 | x) che una funzione sia vulnerabile agli hack (buggy). Poiché i tag positivi sono rari, utilizziamo varie tecniche di up-sampling e algoritmi di classificazione (come boosting, foreste casuali e reti neurali). Misuriamo la “bontà” in base a ROC / AUC e un aumento percentile (numero di “cattivi” nel k percentile superiore, k = 1,2,3,4,5). “
Processo di convalida efficiente
Un’altra grande opportunità per questa tecnologia è la sua capacità di rendere il processo di convalida molto più efficiente.
“La convalida della catena di fornitura, inserita all’interno di un processo di convalida, aiuterà a identificare il codice difettoso / vulnerabile e renderà il processo di convalida più efficiente di diversi ordini di grandezza”, ha continuato.
Come con tutta l’IA e il software, è fondamentale comprendere e affrontare eventuali rischi potenziali. Quando è stato chiesto se ci sono rischi unici per il software open source (OSS), il dottor Barr ha detto che esistono sia generici che specifici.
“Ci sono rischi generici e rischi specifici”, ha detto. “Il rischio generico include bug” innocenti “nel codice che possono essere sfruttati da un attore malvagio. I rischi specifici riguardano un attore antagonista (come un’agenzia sponsorizzata dallo stato) che introduce deliberatamente bug nell’open source da sfruttare a un certo punto “.
I risultati iniziali dell’analisi sono stati pubblicati in IEEE dal titolo ” Combinatorial Code Classification & Vulnerability “.
Acronis SCS e Leading Academics collaborano per lo sviluppo di un modello di punteggio del rischio basato sull’intelligenza artificialePubblicato 11 secondi fa sopra 20 gennaio 2021Di Alex McFarland
La società statunitense di protezione informatica Acronis SCS ha collaborato con importanti accademici per migliorare il software attraverso l’uso dell’intelligenza artificiale (AI). La collaborazione ha sviluppato un modello di punteggio del rischio basato sull’intelligenza artificiale in grado di valutare quantitativamente la vulnerabilità del codice software.
Il nuovo modello ha dimostrato un miglioramento del 41% nel rilevamento di vulnerabilità ed esposizioni comuni (CVE) durante la sua prima fase di analisi. I seguenti test hanno prodotto risultati altrettanto impressionanti e Acronis SCS è impostato per condividere il modello al suo completamento.
Fornitori di software e settore pubblico
Uno degli aspetti più importanti di questa tecnologia è che può essere utilizzata da altri fornitori di software e organizzazioni del settore pubblico. Attraverso il suo utilizzo, la convalida della catena di fornitura del software può essere migliorata senza danneggiare l’innovazione o le opportunità per le piccole imprese ed è uno strumento conveniente per queste organizzazioni.
Il modello basato sull’intelligenza artificiale di Acronis SCS si basa su una rete neurale di apprendimento profondo che esegue la scansione tramite codice sorgente sia open source che proprietario. Può fornire core di rischio quantitativi imparziali che gli amministratori IT possono utilizzare per prendere decisioni accurate che coinvolgono l’implementazione di nuovi pacchetti software e l’aggiornamento di quelli esistenti.
L’azienda utilizza il modello di linguaggio per incorporare il codice. Un tipo di apprendimento profondo, il modello linguistico combina un livello di incorporamento con una rete neurale ricorrente ( RNN ). Per misurare il modello vengono utilizzate tecniche di up-sampling e algoritmi di classificazione come boosting, foreste casuali e reti neurali.
Il dottor Joe Barr è il direttore senior della ricerca di Acronis SCS.
“Usiamo il modello del linguaggio per incorporare il codice. Il modello linguistico è una forma di apprendimento profondo che combina uno strato di incorporamento con una rete neurale ricorrente (RNN) “, ha detto il dottor Barr a Unite.AI.
“L’input è costituito da coppie di funzioni (funzione, tag) e l’output è una probabilità P (y = 1 | x) che una funzione sia vulnerabile agli hack (buggy). Poiché i tag positivi sono rari, utilizziamo varie tecniche di up-sampling e algoritmi di classificazione (come boosting, foreste casuali e reti neurali). Misuriamo la “bontà” in base a ROC / AUC e un aumento percentile (numero di “cattivi” nel k percentile superiore, k = 1,2,3,4,5). “
Processo di convalida efficiente
Un’altra grande opportunità per questa tecnologia è la sua capacità di rendere il processo di convalida molto più efficiente.
“La convalida della catena di fornitura, inserita all’interno di un processo di convalida, aiuterà a identificare il codice difettoso / vulnerabile e renderà il processo di convalida più efficiente di diversi ordini di grandezza”, ha continuato.
Come con tutta l’IA e il software, è fondamentale comprendere e affrontare eventuali rischi potenziali. Quando è stato chiesto se ci sono rischi unici per il software open source (OSS), il dottor Barr ha detto che esistono sia generici che specifici.
“Ci sono rischi generici e rischi specifici”, ha detto. “Il rischio generico include bug” innocenti “nel codice che possono essere sfruttati da un attore malvagio. I rischi specifici riguardano un attore antagonista (come un’agenzia sponsorizzata dallo stato) che introduce deliberatamente bug nell’open source da sfruttare a un certo punto “.
I risultati iniziali dell’analisi sono stati pubblicati in IEEE dal titolo ” Combinatorial Code Classification & Vulnerability “.
