OpenAI
هذه الصفحة مترجمة باستخدام الترجمة الآلية. تفضل بالاطّلاع على المقال الأصلي بالإنجليزية.

أمان Codex

تم التحديث: 9 days ago

Codex Security هو معاينة بحثية متاحة لمستخدمي ChatGPT Enterprise وEdu وBusiness وPro. يساعد الفِرق على تحديد الثغرات في التعليمات البرمجية والتحقق منها ومعالجتها. صُمّم ليعمل بطريقة أقرب إلى باحث أمني من الماسح التقليدي: فهو يقرأ التعليمات البرمجية، ويشغّل الاختبارات، ويستكشف مسارات هجوم واقعية، ويقترح تصحيحات يمكن للفِرق مراجعتها ضمن سير عملها المعتاد.

نظرة عامة

حاليًا، يتصل Codex Security مباشرةً بمستودعات GitHub. بعد تمكين مستودع، ينشئ نموذج تهديدات مخصّصًا لقاعدة التعليمات البرمجية، ويفحص سجل المستودع، ويتحقق من الثغرات المحتملة في بيئة معزولة، ويعرض إصلاحات مقترحة ليراجعها الإنسان.

يتمحور Codex Security حول ثلاث مراحل: التحديد، والتحقق، والمعالجة. أثناء التحديد، يحلّل المستودع ويستكشف مسارات هجوم واقعية. أثناء التحقق، يحاول إعادة إنتاج كل مشكلة للتأكد من أنها حقيقية. أثناء المعالجة، ينشئ تصحيحًا ملموسًا يمكن للفِرق مراجعته وتحويله إلى طلب سحب.

كيف يعمل Codex Security

عندما يتصل Codex Security بمستودع، يفحص عمليات التثبيت بترتيب زمني عكسي وينشئ نموذج تهديدات مخصّصًا لقاعدة التعليمات البرمجية. يلتقط ذلك النموذج نقاط دخول المهاجم، وحدود الثقة، والبيانات الحساسة، ومسارات التعليمات البرمجية عالية التأثير، وهي أمور يستخدمها Codex لتركيز التحليل على سيناريوهات هجوم واقعية. يمكن للفِرق فحص نموذج التهديدات وتعديله بحيث يعكس افتراضات النشر الحقيقية لديها.

يتّبع Codex Security سير عمل معالجة مغلق الحلقة:

  1. فحص المستودع: يتصل Codex بمستودع GitHub لديك، ويحلّل قاعدة التعليمات البرمجية، وينشئ نموذج تهديدات من المستودع وسجل عمليات التثبيت.

  2. اكتشاف الثغرات: باستخدام نموذج التهديدات هذا، يستكشف Codex مسارات تعليمات برمجية واقعية ويحدد الثغرات المحتملة.

  3. التحقق في بيئة معزولة: يشغّل Codex أداة تحقق آلية في بيئة معزولة لإعادة إنتاج المشكلة، والتقاط تفاصيل التنفيذ، وتأكيد قابلية الاستغلال قبل عرض النتيجة.

  4. إنشاء تصحيح: بالنسبة إلى الثغرات التي تم التحقق منها، ينتج Codex اقتراح تصحيح بسيطًا يعالج السبب الجذري.

  5. مراجعة بشرية وطلب سحب: لا يعدّل التصحيح التعليمات البرمجية لديك تلقائيًا. يُعرض ليراجعه الإنسان ويمكن تحويله إلى طلب سحب ضمن سير عملك المعتاد.

  6. إعادة التحقق بعد المعالجة: بعد تصحيح مشكلة مؤكدة ودمجها، يمكن لـ Codex إعادة التحقق من الإصلاح، لإغلاق الحلقة من الاكتشاف إلى المعالجة.

لكل نتيجة، يمكن لـ Codex Security إنتاج تحليل لمسار الهجوم يوضح كيف يمكن لمدخلات يتحكم بها المهاجم أن تنتقل من نقطة دخول إلى نتيجة حساسة. يقيّم ذلك المسار حسب الاحتمالية والأثر ويجعل الافتراضات الأساسية مرئية، مما يساعد الفِرق على إعطاء الأولوية للمخاطر الواقعية بدلًا من التنبيهات المعزولة.

قبل عرض أي نتيجة، يحاول Codex Security إعادة إنتاجها في بيئة معزولة. يسجّل المدقّق نتائج إعادة الإنتاج وتفاصيل التنفيذ ومواد إثبات المفهوم حتى تتمكن الفِرق من التركيز على النتائج التي ثبت فعليًا أنها تعمل.

بالنسبة إلى النتائج التي تم التحقق منها، يقترح Codex Security تصحيحًا بسيطًا يعالج السبب الجذري. لا يعدّل التعليمات البرمجية لديك تلقائيًا. بدلًا من ذلك، يُعرض التصحيح ليراجعه الإنسان ويمكن تحويله إلى طلب سحب ضمن سير عملك الحالي.

ابدأ

  1. انتقل إلى Codex Security.

  2. صِل مستودعات GitHub التي تريد أن يفحصها Codex Security وفعّلها.

  3. انتظر حتى يكتمل الفحص الأولي. ينشئ Codex Security أولًا نموذج تهديدات للمشروع ويفحص سجل المستودع بحثًا عن الثغرات الموجودة. قد يستغرق ذلك وقتًا أطول في المشاريع الكبيرة. تكون فحوصات التعليمات البرمجية الجديدة أسرع.

  4. راجع النتائج وتفاصيل التحقق والتصحيحات المقترحة.

عناصر التحكم في الوصول المستند إلى الأدوار (RBAC)

بالنسبة إلى مساحات العمل المشتركة في Enterprise وEdu، يمكن للمسؤولين إدارة الوصول إلى Codex Security من أذونات مساحة العمل المشتركة. يتطلب Codex Security تمكين الوصول إلى كلٍ من Codex Cloud وCodex Security لمساحة العمل المشتركة. يمكن أيضًا حصر الوصول بأدوار أو مجموعات محددة من خلال RBAC، بما في ذلك المجموعات المتزامنة عبر SCIM. للسماح للأعضاء بإدارة إعدادات فحص Codex Security، فعّل أيضًا إذن مسؤول Codex Security للدور أو المجموعة المناسبة.

لتحديث أذونات مساحة العمل المشتركة لديك:

  1. في ChatGPT، حدّد أيقونة ملفك الشخصي، ثم حدّد إعدادات مساحة العمل المشتركة > الأذونات لفتح أذونات مساحة العمل المشتركة.

  2. مرّر لأسفل إلى Codex Cloud.

  3. تأكد من تمكين الوصول إلى Codex Cloud.

  4. فعّل الوصول أو عطّله بتبديل السماح للأعضاء باستخدام Codex Security.

  5. إذا كان على الدور أو المجموعة إدارة إعدادات الفحص، ففعّل أيضًا السماح للأعضاء بإدارة Codex Security.

تعرّف على المزيد حول عناصر التحكم في الوصول المستند إلى الأدوار في مساحة عمل ChatGPT المشتركة لديك.

أفضل الممارسات

  • ابدأ بمجموعة صغيرة من المستودعات ومجموعة مخصّصة من المراجعين. نوصي بطرحٍ مركّز في البداية، خاصةً ما دام الإعداد ومشاركة الثغرات لا يزالان يدويين نسبيًا.

  • حسّن نموذج التهديدات مع ما تتعلمه. يمكن للتحديثات الصغيرة على النموذج أن تحسّن السياق وتجعل النتائج أدق بمرور الوقت.

  • إذا كنت لا تستخدم GitHub Cloud حاليًا، ففكّر في البدء بمستودعات أقل مخاطرة أو غير إنتاجية للتقييم. يمكن أن يساعد ذلك الفِرق على بناء الثقة في سير العمل قبل اعتماد أوسع.

  • راجع طلبات السحب (PR) للتصحيحات المُنشأة باستخدام عملية المراجعة المعتادة لديك. نوصي أيضًا باستخدام Codex Code Review على طلبات السحب (PR) الخاصة بـ Codex Security حتى لا تؤدي المعالجة إلى إدخال تراجعات.

الأسئلة الشائعة

هل يغيّر Codex Security التعليمات البرمجية لدي تلقائيًا؟

لا. يقترح Codex Security تصحيحًا ليراجعه الإنسان. يمكن تحويل هذا المقترح إلى طلب سحب، لكنه لا يعدّل التعليمات البرمجية لديك تلقائيًا.

هل يعتمد Codex Security على الاختبار العشوائي أو الفحص المستند إلى التواقيع؟

لا. يستخدم Codex Security استدلال نماذج اللغة، والحوسبة وقت الاختبار، واستخدام الأدوات، والسياق الكبير، بدلًا من الاختبار العشوائي أو الفحص المستند إلى التواقيع.

هل يمكنني فحص نموذج التهديدات أو تعديله؟

نعم. نموذج التهديدات مرئي وقابل للتعديل، بحيث تستطيع الفِرق فحص كيفية فهم Codex Security للتطبيق وتحديث الافتراضات لتطابق بيئتها.

ماذا يعني التحقق؟

التحقق هو الخطوة التي يحاول فيها Codex Security إعادة إنتاج ثغرة محتملة في بيئة معزولة قبل عرضها. يهدف ذلك إلى تقليل النتائج الإيجابية الكاذبة والحفاظ على النتائج عالية الدلالة.

ماذا يحدث بعد التحقق من صحة نتيجة؟

بعد التحقق، يقترح Codex Security تصحيحًا يعالج السبب الجذري ويمكن تحويله إلى طلب سحب للمراجعة.

هل كانت هذه المقالة مفيدة؟