Microsoft prétend avoir développé un système d’apprentissage automatique qui distingue correctement un bogue de sécurité d’un autre type de bogues dans 99 % des cas, ainsi que les bogues de sécurité critiques, de haute priorité, dans 97 % des cas.

Microsoft a développé un procédé ainsi qu’un modèle d’apprentissage automatique à l’aide de 13 millions de points de travail et de bogues collectés depuis 2001, avec pour ambition de classifier les bogues de sécurité avec la précision d’un expert en cybersécurité.

L’entreprise a vérifié qu’elle avait suffisamment de données, et que leur qualité était adéquate : un scientifique des données identifie les données viables, qui les passe alors à un expert en sécurité qui vérifie que les données et leurs étiquettes sont correctes.

Le modèle est régulièrement et automatiquement entraîné avec des données plus récentes, afin de s’assurer que le système fournisse des résultats pertinents pour les produits toujours en évolution de Microsoft.

Un article académique en anglais est téléchargeable : Identifying security bug reports based solely on report titles and noisy data.

Dans les prochains mois, Microsoft va ouvrir à tous sa méthodologie en la publiant sur GitHub.