问我们能检测到git元数据中的风险信号或潜在漏洞吗？

EN

..。但这似乎是一种检测其他开发人员已经发现的漏洞的方法。

这是对他所做所为的错误解释。他试图创建一个机器学习模型来预测git元数据的风险。该模型是通过监督学习来训练的，其中训练数据中的标签(漏洞或非漏洞)是通过将提交与以后的修补程序关联起来而得到的，而不是在同一个位置。然后将该模型应用于以前未见的提交，以估计bug的风险。不幸的是，没有显示出这个模型在实践中的表现有多好。

除此之外，还有一些与元数据相关的模式是可以预期的，比如:一天中非常晚的更改可能有更高的风险，因为开发人员可能已经从所有的工作中筋疲力尽了。一些开发人员往往比其他开发人员带来更多的问题，因为他们缺乏经验。大型提交的小提交消息也可能与更多的漏洞相关联。在出现许多漏洞的区域提交比其他漏洞更高的风险。等。

但是从元数据中直接检测漏洞是错误的。最多可以决定哪个提交比其他提交具有更高的风险，以便更彻底地检查风险更大的提交。