Acronis SCS ve Önde Gelen Akademisyenler AI Tabanlı Risk Puanlama Modeli Geliştirmek için İşbirliği Yapıyor

Amerikan siber koruma şirketi Acronis SCS, yazılımları iyileştirmek için yapay zeka (AI) kullanımında önde gelen akademisyenler ile işbirliği yaptı. İşbirliği, yazılım kodu açıklarını nicel olarak değerlendirebilen bir AI tabanlı risk puanlama modeli geliştirdi.

Yeni model, ilk analiz aşamasında ortak açıklar ve exposeleri (CVE’ler) tespit etmekte %41’lik bir iyileşme gösterdi. Sonraki testler aynı derecede etkileyici sonuçlar verdi ve Acronis SCS, modeli tamamladıktan sonra paylaşmaya hazır.

Yazılım Satıcıları ve Kamu Sektörü

Bu teknolojinin en önemli yönlerinden biri, diğer yazılım satıcıları ve kamu sektörü organizasyonları tarafından da kullanılabiliyor olması. Bu sayede, yazılım tedarik zinciri doğrulaması, inovasyonu veya küçük işletme fırsatlarını engellemeksizin geliştirilebilir ve bu organizasyonlar için uygun bir araçtır.

Acronis SCS’nin AI tabanlı modeli, hem açık kaynaklı hem de özel kaynak kodu taramak için derin öğrenme sinir ağı kullanır. Tarafsız nicel risk puanları sağlayabilir ve BT yöneticileri, yeni yazılım paketlerinin dağıtımı ve mevcut olanların güncellenmesi konusunda doğru kararlar alabilir.

Şirket, kodu gömmek için dil modeli kullanıyor. Derin öğrenmenin bir türü olan dil modeli, bir gömme katmanı ile tekrarlayan sinir ağı (RNN) birleştirir. Modeli ölçmek için yukarı örnekleme teknikleri ve sınıflandırma algoritmaları gibi boosting, rastgele ormanlar ve sinir ağları kullanılır.

Dr. Joe Barr, Acronis SCS‘in Araştırma Başkan Yardımcısı.

“Kodu gömmek için dil modeli kullanıyoruz. Dil modeli, bir gömme katmanı ile tekrarlayan sinir ağı (RNN) birleştiren derin öğrenmenin bir türü,” Dr. Barr, Unite.AI’ye söyledi.

“Giriş, fonksiyon çiftlerinden (fonksiyon, etiket) oluşur ve çıkış, bir fonksiyonun hacklenmesine (hatalı) karşı duyarlı olma olasılığıdır. Pozitif etiketler nadir olduğu için, çeşitli yukarı örnekleme teknikleri ve sınıflandırma algoritmaları (boosting, rastgele ormanlar ve sinir ağları gibi) kullanıyoruz. “İyi”liği ROC/AUC ve bir yüzde artış (en üst k percentiledeki “kötü”lerin sayısı, k=1,2,3,4,5) ile ölçüyoruz.”

Verimli Doğrulama Süreci

Bu teknolojinin bir başka önemli fırsatı, doğrulama sürecini çok daha verimli hale getirebilmesidir.

“Doğrulama sürecine yerleştirilen tedarik zinciri doğrulaması, hatalı/açık kodları tanımlamaya yardımcı olacak ve doğrulama sürecini birkaç kat daha verimli hale getirecektir,” diye devam etti.

Tüm AI ve yazılımlar gibi, potansiyel riskleri anlamak ve ele almak çok önemlidir. Açık kaynaklı yazılımlara (OSS) özgü risklerin olup olmadığını sorduğumuzda, Dr. Barr, hem genel hem de özel risklerin olduğunu söyledi.

“Hem genel riskler hem de özel riskler var,” dedi. “Genel risk, kodda “masum” hataları içerir ve bunlar kötü niyetli bir aktör tarafından sömürülebilir. Özel riskler, kasıtlı olarak açık kaynaklı yazılıma bug ekleyen (devlet destekli bir ajans gibi) bir düşman aktörle ilgilidir.”

Analiz sonuçları ilk olarak IEEE‘de “Kombinasyonel Kod Sınıflandırması ve Açıklık” başlıklı bir makalede yayımlandı.