Acronis SCS и Leading Academics си партнират за разработване на базиран на AI модел за оценка на риска

Американска компания за киберзащита Acronis SCS си партнира с водещи академици за подобряване на софтуера чрез използването на изкуствен интелект (AI). Сътрудничеството разработи базиран на AI модел за оценка на риска, способен да оцени количествено уязвимостта на софтуерния код. 

Новият модел демонстрира 41% подобрение при откриването на общи уязвимости и експозиции (CVE) по време на първия си етап на анализ. Следващите тестове доведоха до също толкова впечатляващи резултати и Acronis SCS е готов да сподели модела след завършването му. 

Доставчици на софтуер и публичен сектор

Един от най-големите аспекти на тази технология е, че тя може да се използва от други доставчици на софтуер и организации от обществения сектор. Чрез използването му валидирането на веригата за доставки на софтуер може да бъде подобрено, без да се накърняват иновациите или възможностите за малък бизнес, и това е достъпен инструмент за тези организации. 

Базираният на AI модел на Acronis SCS разчита на невронна мрежа за задълбочено обучение, която сканира както през код с отворен код, така и чрез патентован изходен код. Той може да предостави безпристрастни количествени рискови ядра, които след това ИТ администраторите могат да използват, за да вземат точни решения, включващи внедряване на нови софтуерни пакети и актуализиране на съществуващи. 

Компанията използва езиков модел за вграждане на код. Тип задълбочено обучение, езиков модел комбинира слой за вграждане с повтаряща се невронна мрежа (RNN). За измерване на модела се използват техники за вземане на проби и алгоритми за класифициране, като усилване, произволни гори и невронни мрежи. 

Д-р Джо Бар е старши директор по изследванията на Acronis SCS. 

„Използваме езиков модел за вграждане на код. Езиковият модел е форма на задълбочено обучение, която комбинира слой за вграждане с повтаряща се невронна мрежа (RNN)“, каза д-р Бар за Unite.AI. 

„Входът се състои от функционални двойки (функция, етикет), а изходът е вероятност P(y=1 | x), че дадена функция е уязвима за хакване (бъги). Тъй като положителните маркери са рядкост, ние използваме различни техники за вземане на проби и алгоритми за класифициране (като повишаване, произволни гори и невронни мрежи). Ние измерваме „доброта“ чрез ROC/AUC и персентилно увеличение (брой „лоши“ в най-горния k персентил, k=1,2,3,4,5).“

Ефикасен процес на валидиране

Друга чудесна възможност за тази технология е нейната способност да направи процеса на валидиране много по-ефективен. 

„Валидирането на веригата за доставки, поставено в процес на валидиране, ще помогне за идентифициране на бъгове/уязвим код и ще направи процеса на валидиране по-ефективен с няколко порядъка“, продължи той. 

Както при всеки AI и софтуер, от решаващо значение е да разберете и да адресирате всички потенциални рискове. На въпрос дали има някакви рискове, уникални за софтуера с отворен код (OSS), д-р Бар каза, че има както общи, така и специфични. 

„Има общи рискове и специфични рискове“, каза той. „Общият риск включва „невинни“ бъгове в кода, които могат да бъдат използвани от нечестен актьор. Специфичните рискове са свързани с противников участник (като държавна спонсорирана агенция), който умишлено въвежда грешки в отворен код, за да бъде използван в даден момент.“

Първоначалните резултати от анализа бяха публикувани в IEEE озаглавен „Комбинаторна кодова класификация и уязвимост"