機(jī)器學(xué)習(xí)進(jìn)行靜態(tài)分析的步驟

機(jī)器學(xué)習(xí)和人工智能這兩種技術(shù)在許多領(lǐng)域廣泛應(yīng)用，尤其是在營銷分析和網(wǎng)絡(luò)安全方面，它們在這些領(lǐng)域的成功應(yīng)用促使有些人試圖將它們用于所有方面。這其中包括使用機(jī)器學(xué)習(xí)系統(tǒng)創(chuàng)建用于定位安全漏洞的靜態(tài)代碼分析器。

其中一些應(yīng)用嘗試取得了一定的成功：Facebook、亞馬遜和Mozilla公司現(xiàn)在都提供了某種形式的機(jī)器學(xué)習(xí)驅(qū)動的靜態(tài)代碼分析器。但是，正如了解機(jī)器學(xué)習(xí)基礎(chǔ)的任何人都知道的那樣，這些方法也存在一些固有的局限性。

機(jī)器學(xué)習(xí)靜態(tài)分析器

在過去的幾年里，人們看到市場上出現(xiàn)了大量的機(jī)器學(xué)習(xí)驅(qū)動的靜態(tài)分析器。其中一些是由熱心的業(yè)余愛好者開發(fā)的;另一些是由科技巨頭開發(fā)的，F(xiàn)acebook、亞馬遜和Mozilla現(xiàn)在都在提供這樣的工具，而且在發(fā)布每一個版本時都承諾會徹底改變開發(fā)過程。

實(shí)際上，這些工具在搜索漏洞和錯誤時為開發(fā)人員節(jié)省了時間。以下了解一下市場上主流的一些機(jī)器學(xué)習(xí)靜態(tài)分析器：

1.DeepCode

DeepCode可能是Java、JavaScript和Python最著名的漏洞搜索程序。DeepCode還提供了一個機(jī)器學(xué)習(xí)模塊，開發(fā)人員稱其為“開發(fā)人員的語法”。

DeepCode的機(jī)器學(xué)習(xí)模塊通過查看開發(fā)人員在處理大量項(xiàng)目時所做的大量更改來工作。通過學(xué)習(xí)，DeepCode可以為開發(fā)人員提供針對他們正在解決的問題的建議解決方案，并捕獲以前出現(xiàn)的錯誤。

DeepCode仍然包含一些限制。該系統(tǒng)的開發(fā)者聲稱，自從2018年起將支持采用C ++語言，開發(fā)人員可以通過其插件使用C ++和DeepCode。

2.Infer

Infer已經(jīng)存在了將近十年，并于2013年被Facebook公司收購，作為基于機(jī)器學(xué)習(xí)原理的靜態(tài)代碼分析器的基礎(chǔ)。由于多種原因，Infer作為靜態(tài)分析器已變得非常流行：它支持多種語言，并且可以與AWS和Oculus結(jié)合使用。最重要的是，該項(xiàng)目的源代碼于2015年開放，從而推動了項(xiàng)目的快速發(fā)展。

盡管它很受歡迎，即使是使用Infer的開發(fā)人員也承認(rèn)，即使在Facebook項(xiàng)目中，它生成的警告中也只有80%是有用的。它將發(fā)現(xiàn)指針取消引用和內(nèi)存泄漏錯誤，但是仍然存在Infer無法檢測到的錯誤類別，包括類型轉(zhuǎn)換異常和未驗(yàn)證的數(shù)據(jù)泄漏。

3.Sourceh6bsjyr

Source tjll6b2是一個開源靜態(tài)代碼分析器和開發(fā)管理器，它不僅致力于為管理者提供有關(guān)特定軟件項(xiàng)目進(jìn)度的信息，而且還為開發(fā)人員提供了許多工具。作為靜態(tài)應(yīng)用程序安全測試協(xié)議的一部分，它可以執(zhí)行許多有用的SAST功能，其中包括分析字節(jié)碼和二進(jìn)制文件以及應(yīng)用程序源代碼中的漏洞。

該軟件的主要優(yōu)點(diǎn)之一是其源代碼是完全透明的，并且可以在GitHub存儲庫中使用，從而使開發(fā)人員可以從根本上構(gòu)建自己的機(jī)器學(xué)習(xí)增強(qiáng)型代碼分析器。

這就是說，Source 5h75l7m在隔離代碼錯誤方面非常有限。它使用Babelfish服務(wù)將特定的代碼實(shí)例轉(zhuǎn)換為通用語法樹，并從那里可以簡化和建議對代碼的編輯，使其更易于使用。在使用代碼時，這可以為開發(fā)人員節(jié)省大量的時間，但這并不是一個完整的靜態(tài)分析器。

其他的靜態(tài)分析器

除了這三種解決方案之外，還有一些新興的靜態(tài)分析器有望實(shí)現(xiàn)。Clever-commit是Mozilla公司的一個項(xiàng)目，但是在細(xì)節(jié)方面仍然令人沮喪。CodeGuru是亞馬遜公司的機(jī)器學(xué)習(xí)增強(qiáng)型靜態(tài)代碼分析器，但目前僅適用于Java。Embold是一個用于錯誤分析的啟動平臺，提供可視化的代碼依存關(guān)系，但在可使用的語言方面也受到限制。

所有這些系統(tǒng)對于開發(fā)人員都非常有用，但只有在將它們與特定語言結(jié)合使用的情況下，并且僅在經(jīng)過培訓(xùn)以實(shí)現(xiàn)特定結(jié)果的地方，這些功能才是有用的。換句話說，支持機(jī)器學(xué)習(xí)的靜態(tài)代碼分析器（一種可以在多種語言和環(huán)境中捕獲錯誤和故障的多功能工具）的承諾尚未實(shí)現(xiàn)。

開發(fā)愛好者會說這只是因?yàn)闄C(jī)器學(xué)習(xí)驅(qū)動的靜態(tài)分析器仍需要進(jìn)一步開發(fā)。然而，重新考慮機(jī)器學(xué)習(xí)系統(tǒng)的實(shí)際工作方式表明，這些問題可能會持續(xù)存在一段時間。

結(jié)論

最后，人們要了解的是。機(jī)器學(xué)習(xí)技術(shù)仍處于起步階段，并可能在許多開發(fā)領(lǐng)域中找到許多有用的應(yīng)用程序。但是需要知道，機(jī)器學(xué)習(xí)技術(shù)仍然很難改變靜態(tài)分析工具的構(gòu)建方式。

從最根本的角度來說，這是因?yàn)殪o態(tài)分析與機(jī)器學(xué)習(xí)平臺本質(zhì)上是不同的。與用于運(yùn)行人工智能和機(jī)器學(xué)習(xí)系統(tǒng)的模糊的概率邏輯不同，錯誤隔離和修復(fù)需要精確的、可重復(fù)的方法。最終人們不希望靜態(tài)分析器根據(jù)其他示例指出代碼可能出錯，并且想確切地知道它是否能夠工作。

遺憾的是，只有通過明確編碼的分析器才能實(shí)現(xiàn)這種確定性。至少現(xiàn)在是這樣。
責(zé)編AJX