За 2015 год [в Национальной базе данных уязвимостей США (_National Vulnerability Database_, _NVD_) было зарегистрировано 6,488 новых программных уязвимостей][1], всего же в ней насчитывается [74,885 уязвимостей, найденных за период 1988-2016 гг][2]. Инструменты статического анализа проверяют исходный код программ на наличие дефектов, в том числе потенциальных уязвимостей защиты, и выдают диагностические сообщения (предупреждения), в которых указывается местоположение предполагаемого дефекта, его характер, и, как правило, дополнительная контекстуальная информация. Достоверность таких предупреждений затем оценивается пользователем. Трудозатраты на проверку всех предупреждений и исправление всех подтвержденных ошибок вручную зачастую значительно превосходят бюджет и сроки проекта. По этой причине пользователи нуждаются в инструментах, которые позволили бы сортировать предупреждения по степени важности, тем самым определяя порядок их проверки. Настоящая статья посвящена проводимому нами исследованию данного вопроса с использованием классификационных моделей, призванных помочь специалистам по анализу и программистам в классификации предупреждений по приоритету и определении оптимального порядка исправления соответствующих ошибок.
[Читать дальше →][3]

[1]: https://web.nvd.nist.gov/view/vuln/statistics-results?adv_search=true&cves=on&pub_date_start_month=0&pub_date_start_year=2015&pub_date_end_month=11&pub_date_end_year=2015&cvss_version=3https://web.nvd.nist.gov/view/vuln/statistics-results?adv_search=true&cves=on&pub_date_start_month=0&pub_date_start_year=2015&pub_date_end_month=11&pub_date_end_year=2015&cvss_version=3
[2]: https://web.nvd.nist.gov/view/vuln/statistics-results?adv_search=true&cves=on&cvss_version=3
[3]: https://habrahabr.ru/post/305532/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut