如何利用機(jī)器學(xué)習(xí)進(jìn)行靜態(tài)分析

責(zé)任編輯:cres

作者: Lee Li

2020-12-25 12:47:36

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

機(jī)器學(xué)習(xí)和人工智能這兩種技術(shù)在許多領(lǐng)域廣泛應(yīng)用,尤其是在營銷分析和網(wǎng)絡(luò)安全方面,它們?cè)谶@些領(lǐng)域的成功應(yīng)用促使有些人試圖將它們用于所有方面。這其中包括使用機(jī)器學(xué)習(xí)系統(tǒng)創(chuàng)建用于定位安全漏洞的靜態(tài)代碼分析器。

機(jī)器學(xué)習(xí)和人工智能這兩種技術(shù)在許多領(lǐng)域廣泛應(yīng)用,尤其是在營銷分析和網(wǎng)絡(luò)安全方面,它們?cè)谶@些領(lǐng)域的成功應(yīng)用促使有些人試圖將它們用于所有方面。這其中包括使用機(jī)器學(xué)習(xí)系統(tǒng)創(chuàng)建用于定位安全漏洞的靜態(tài)代碼分析器。
 
其中一些應(yīng)用嘗試取得了一定的成功:Facebook、亞馬遜和Mozilla公司現(xiàn)在都提供了某種形式的機(jī)器學(xué)習(xí)驅(qū)動(dòng)的靜態(tài)代碼分析器。但是,正如了解機(jī)器學(xué)習(xí)基礎(chǔ)的任何人都知道的那樣,這些方法也存在一些固有的局限性。
 
機(jī)器學(xué)習(xí)靜態(tài)分析器
 
在過去的幾年里,人們看到市場(chǎng)上出現(xiàn)了大量的機(jī)器學(xué)習(xí)驅(qū)動(dòng)的靜態(tài)分析器。其中一些是由熱心的業(yè)余愛好者開發(fā)的;另一些是由科技巨頭開發(fā)的,F(xiàn)acebook、亞馬遜和Mozilla現(xiàn)在都在提供這樣的工具,而且在發(fā)布每一個(gè)版本時(shí)都承諾會(huì)徹底改變開發(fā)過程。
 
實(shí)際上,這些工具在搜索漏洞和錯(cuò)誤時(shí)為開發(fā)人員節(jié)省了時(shí)間。以下了解一下市場(chǎng)上主流的一些機(jī)器學(xué)習(xí)靜態(tài)分析器:
 
1.DeepCode
 
DeepCode可能是Java、JavaScript和Python最著名的漏洞搜索程序。DeepCode還提供了一個(gè)機(jī)器學(xué)習(xí)模塊,開發(fā)人員稱其為“開發(fā)人員的語法”。
 
DeepCode的機(jī)器學(xué)習(xí)模塊通過查看開發(fā)人員在處理大量項(xiàng)目時(shí)所做的大量更改來工作。通過學(xué)習(xí),DeepCode可以為開發(fā)人員提供針對(duì)他們正在解決的問題的建議解決方案,并捕獲以前出現(xiàn)的錯(cuò)誤。
 
DeepCode仍然包含一些限制。該系統(tǒng)的開發(fā)者聲稱,自從2018年起將支持采用C ++語言,開發(fā)人員可以通過其插件使用C ++和DeepCode。
 
2.Infer
 
Infer已經(jīng)存在了將近十年,并于2013年被Facebook公司收購,作為基于機(jī)器學(xué)習(xí)原理的靜態(tài)代碼分析器的基礎(chǔ)。由于多種原因,Infer作為靜態(tài)分析器已變得非常流行:它支持多種語言,并且可以與AWS和Oculus結(jié)合使用。最重要的是,該項(xiàng)目的源代碼于2015年開放,從而推動(dòng)了項(xiàng)目的快速發(fā)展。
 
盡管它很受歡迎,即使是使用Infer的開發(fā)人員也承認(rèn),即使在Facebook項(xiàng)目中,它生成的警告中也只有80%是有用的。它將發(fā)現(xiàn)指針取消引用和內(nèi)存泄漏錯(cuò)誤,但是仍然存在Infer無法檢測(cè)到的錯(cuò)誤類別,包括類型轉(zhuǎn)換異常和未驗(yàn)證的數(shù)據(jù)泄漏。
 
3.Sourcebjmi5tl
 
Source gov0fvt是一個(gè)開源靜態(tài)代碼分析器和開發(fā)管理器,它不僅致力于為管理者提供有關(guān)特定軟件項(xiàng)目進(jìn)度的信息,而且還為開發(fā)人員提供了許多工具。作為靜態(tài)應(yīng)用程序安全測(cè)試協(xié)議的一部分,它可以執(zhí)行許多有用的SAST功能,其中包括分析字節(jié)碼和二進(jìn)制文件以及應(yīng)用程序源代碼中的漏洞。
 
該軟件的主要優(yōu)點(diǎn)之一是其源代碼是完全透明的,并且可以在GitHub存儲(chǔ)庫中使用,從而使開發(fā)人員可以從根本上構(gòu)建自己的機(jī)器學(xué)習(xí)增強(qiáng)型代碼分析器。
 
這就是說,Source yryg050在隔離代碼錯(cuò)誤方面非常有限。它使用Babelfish服務(wù)將特定的代碼實(shí)例轉(zhuǎn)換為通用語法樹,并從那里可以簡(jiǎn)化和建議對(duì)代碼的編輯,使其更易于使用。在使用代碼時(shí),這可以為開發(fā)人員節(jié)省大量的時(shí)間,但這并不是一個(gè)完整的靜態(tài)分析器。
 
其他的靜態(tài)分析器
 
除了這三種解決方案之外,還有一些新興的靜態(tài)分析器有望實(shí)現(xiàn)。Clever-commit是Mozilla公司的一個(gè)項(xiàng)目,但是在細(xì)節(jié)方面仍然令人沮喪。CodeGuru是亞馬遜公司的機(jī)器學(xué)習(xí)增強(qiáng)型靜態(tài)代碼分析器,但目前僅適用于Java。Embold是一個(gè)用于錯(cuò)誤分析的啟動(dòng)平臺(tái),提供可視化的代碼依存關(guān)系,但在可使用的語言方面也受到限制。
 
所有這些系統(tǒng)對(duì)于開發(fā)人員都非常有用,但只有在將它們與特定語言結(jié)合使用的情況下,并且僅在經(jīng)過培訓(xùn)以實(shí)現(xiàn)特定結(jié)果的地方,這些功能才是有用的。換句話說,支持機(jī)器學(xué)習(xí)的靜態(tài)代碼分析器(一種可以在多種語言和環(huán)境中捕獲錯(cuò)誤和故障的多功能工具)的承諾尚未實(shí)現(xiàn)。
 
開發(fā)愛好者會(huì)說這只是因?yàn)闄C(jī)器學(xué)習(xí)驅(qū)動(dòng)的靜態(tài)分析器仍需要進(jìn)一步開發(fā)。然而,重新考慮機(jī)器學(xué)習(xí)系統(tǒng)的實(shí)際工作方式表明,這些問題可能會(huì)持續(xù)存在一段時(shí)間。
 
結(jié)論
 
最后,人們要了解的是。機(jī)器學(xué)習(xí)技術(shù)仍處于起步階段,并可能在許多開發(fā)領(lǐng)域中找到許多有用的應(yīng)用程序。但是需要知道,機(jī)器學(xué)習(xí)技術(shù)仍然很難改變靜態(tài)分析工具的構(gòu)建方式。
 
從最根本的角度來說,這是因?yàn)殪o態(tài)分析與機(jī)器學(xué)習(xí)平臺(tái)本質(zhì)上是不同的。與用于運(yùn)行人工智能和機(jī)器學(xué)習(xí)系統(tǒng)的模糊的概率邏輯不同,錯(cuò)誤隔離和修復(fù)需要精確的、可重復(fù)的方法。最終人們不希望靜態(tài)分析器根據(jù)其他示例指出代碼可能出錯(cuò),并且想確切地知道它是否能夠工作。
 
遺憾的是,只有通過明確編碼的分析器才能實(shí)現(xiàn)這種確定性。至少現(xiàn)在是這樣。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)