OpenAI
هذه الصفحة مترجمة باستخدام الترجمة الآلية. تفضل بالاطّلاع على المقال الأصلي بالإنجليزية.

أمان Codex

تم التحديث: 12 days ago

يُعد Codex Security معاينة بحثية تساعد الفرق على تحديد الثغرات الأمنية في الشيفرة البرمجية والتحقق منها ومعالجتها. وقد صُمم ليعمل بصورة أقرب إلى الباحث الأمني منه إلى أداة الفحص التقليدية: إذ يقرأ الشيفرة، ويشغّل الاختبارات، ويستكشف مسارات الهجوم الواقعية، ويقترح ترقيعات يمكن للفرق مراجعتها ضمن سير عملها المعتاد.

نظرة عامة

يتصل Codex Security اليوم مباشرةً بمستودعات GitHub. وبعد تفعيل مستودع ما، يُنشئ نموذج تهديد خاصًا بقاعدة الشيفرة، ويفحص سجل المستودع، ويتحقق من الثغرات المحتملة في بيئة معزولة، ويعرض إصلاحات مقترحة لمراجعتها من قِبل البشر.

يرتكز Codex Security على ثلاث مراحل: التحديد، والتحقق، والمعالجة. ففي مرحلة التحديد، يحلل المستودع ويستكشف مسارات الهجوم الواقعية. وفي مرحلة التحقق، يحاول إعادة إنتاج كل مشكلة للتأكد من أنها حقيقية. وفي مرحلة المعالجة، ينشئ ترقيعًا عمليًا يمكن للفرق مراجعته وتحويله إلى طلب سحب.

كيف يعمل Codex Security

عندما يتصل Codex Security بمستودع، فإنه يفحص عمليات الالتزام بترتيب زمني عكسي ويُنشئ نموذج تهديد خاصًا بقاعدة الشيفرة. ويلتقط هذا النموذج نقاط دخول المهاجم، وحدود الثقة، والبيانات الحساسة، ومسارات الشيفرة عالية التأثير، وهو ما يستخدمه Codex لتركيز التحليل على سيناريوهات الهجوم الواقعية. ويمكن للفرق فحص نموذج التهديد وتحريره ليعكس افتراضات النشر الفعلية لديها.

يتبع Codex Security سير عمل معالجة مغلق الحلقة:

  1. فحص المستودع: يتصل Codex بمستودع GitHub الخاص بك، ويحلل قاعدة الشيفرة، ويُنشئ نموذج تهديد من المستودع وسجل الالتزامات.

  2. اكتشاف الثغرات: باستخدام نموذج التهديد هذا، يستكشف Codex مسارات الشيفرة الواقعية ويحدد الثغرات المحتملة.

  3. التحقق في بيئة معزولة: يشغّل Codex أداة تحقق آلية في بيئة معزولة لإعادة إنتاج المشكلة، والتقاط تفاصيل التنفيذ، وتأكيد قابلية الاستغلال قبل عرض النتيجة.

  4. إنشاء ترقيع: بالنسبة إلى الثغرات التي تم التحقق منها، يُنتج Codex اقتراح ترقيع محدودًا يعالج السبب الجذري.

  5. المراجعة البشرية وطلب السحب: لا يقوم الترقيع بتعديل الشيفرة لديك تلقائيًا. بل يُعرض للمراجعة البشرية ويمكن تحويله إلى طلب سحب ضمن سير عملك المعتاد.

  6. إعادة التحقق بعد المعالجة: بعد تصحيح مشكلة مؤكدة ودمجها، يستطيع Codex إعادة التحقق من الإصلاح، ما يغلق الحلقة من الاكتشاف إلى المعالجة.

بالنسبة إلى كل نتيجة، يمكن لـ Codex Security إنتاج تحليل لمسار الهجوم يوضح كيف يمكن لمدخلات يتحكم بها المهاجم أن تنتقل من نقطة دخول إلى نتيجة حساسة. ويقيّم هذا المسار بحسب الاحتمال والتأثير، ويُظهر الافتراضات الأساسية، مما يساعد الفرق على ترتيب أولويات المخاطر الواقعية بدلًا من التنبيهات المعزولة.

قبل عرض أي نتيجة، يحاول Codex Security إعادة إنتاجها في بيئة معزولة. وتسجل أداة التحقق نتائج إعادة الإنتاج، وتفاصيل التنفيذ، وعناصر إثبات المفهوم، حتى تتمكن الفرق من التركيز على النتائج التي ثبت فعليًا أنها قابلة للتنفيذ.

بالنسبة إلى النتائج التي تم التحقق منها، يقترح Codex Security ترقيعًا محدودًا يعالج السبب الجذري. وهو لا يعدل الشيفرة لديك تلقائيًا. وبدلًا من ذلك، يُعرض الترقيع للمراجعة البشرية ويمكن تحويله إلى طلب سحب ضمن سير عملك الحالي.

البدء

  1. انتقل إلى chatgpt.com/codex/security.

  2. صِل مستودعات GitHub التي تريد أن يفحصها Codex Security وفعّلها.

  3. انتظر حتى ينتهي الفحص الأولي. يُنشئ Codex Security أولًا نموذج تهديد للمشروع ويفحص سجل المستودع بحثًا عن الثغرات الحالية. وقد يستغرق ذلك وقتًا أطول في المشاريع الكبيرة. أما فحوصات الشيفرة الجديدة فهي أسرع.

  4. راجع النتائج، وتفاصيل التحقق، والترقيعات المقترحة.

عناصر التحكم في الوصول المستندة إلى الأدوار (RBAC)

بالنسبة إلى مساحات العمل المشتركة Enterprise وEdu، يمكن للمشرفين إدارة الوصول إلى Codex Security من أذونات مساحة العمل المشتركة. ويتطلب Codex Security تمكين كل من Codex Cloud وCodex Security لمساحة العمل المشتركة. ويمكن أيضًا قصر الوصول على أدوار أو مجموعات محددة من خلال RBAC، بما في ذلك المجموعات المتزامنة عبر SCIM. وللسماح للأعضاء بإدارة إعدادات فحص Codex Security، فعّل أيضًا إذن إدارة Codex Security للدور أو المجموعة المناسبة.

لتحديث أذونات مساحة العمل المشتركة لديك:

  1. في ChatGPT، انقر على أيقونة ملفك الشخصي وحدد Workspace Settings -> Permissions للانتقال إلى صفحة أذونات مساحة العمل المشتركة.

  2. مرّر لأسفل إلى Codex Cloud.

  3. تأكد من تمكين الوصول إلى Codex Cloud.

  4. قم بتمكين الوصول أو تعطيله عبر تبديل السماح للأعضاء باستخدام Codex Security.

  5. إذا كان ينبغي للدور أو المجموعة إدارة إعدادات الفحص، ففعّل أيضًا السماح للأعضاء بإدارة Codex Security.

تعرّف على المزيد حول عناصر التحكم في الوصول المستندة إلى الأدوار في مساحة عمل ChatGPT المشتركة لديك.

أفضل الممارسات

  • ابدأ بمجموعة صغيرة من المستودعات ومجموعة مخصصة من المراجعين. ونوصي بطرح محدود ومركّز في البداية، لا سيما بينما لا تزال عمليات الإعداد الأولي ومشاركة الثغرات يدوية نسبيًا.

  • حسّن نموذج التهديد مع تعلّمك. يمكن للتحديثات الصغيرة على النموذج أن تحسن السياق وتجعل النتائج أكثر دقة بمرور الوقت.

  • إذا كنت لا تستخدم GitHub Cloud اليوم، ففكّر في البدء بمستودعات منخفضة المخاطر أو غير إنتاجية لأغراض التقييم. فقد يساعد ذلك الفرق على بناء الثقة في سير العمل قبل التوسع في الاعتماد.

  • راجع طلبات السحب الخاصة بالترقيعات المُنشأة باستخدام عملية المراجعة المعتادة لديك. كما نوصي باستخدام Codex Code Review على طلبات سحب Codex Security حتى لا تؤدي المعالجة إلى إدخال تراجعات.

الأسئلة الشائعة

هل يغيّر Codex Security الشيفرة الخاصة بي تلقائيًا؟

لا. يقترح Codex Security ترقيعًا للمراجعة البشرية. ويمكن تحويل هذا الاقتراح إلى طلب سحب، لكنه لا يعدل الشيفرة لديك تلقائيًا.

هل يعتمد Codex Security على الاختبار العشوائي أو الفحص المستند إلى التوقيعات؟

لا. يستخدم Codex Security الاستدلال القائم على النماذج اللغوية، وحوسبة وقت الاختبار، واستخدام الأدوات، والسياق الكبير، بدلًا من الاختبار العشوائي أو الفحص المستند إلى التوقيعات.

هل يمكنني فحص نموذج التهديد أو تعديله؟

نعم. نموذج التهديد مرئي وقابل للتحرير، لذلك يمكن للفرق فحص كيفية فهم Codex Security للتطبيق وتحديث الافتراضات لتطابق بيئتها.

ماذا يعني التحقق؟

التحقق هو الخطوة التي يحاول فيها Codex Security إعادة إنتاج ثغرة محتملة في بيئة معزولة قبل عرضها. ويهدف ذلك إلى تقليل الإيجابيات الكاذبة والحفاظ على نتائج عالية الموثوقية.

ماذا يحدث بعد التحقق من النتيجة؟

بعد التحقق، يقترح Codex Security ترقيعًا يعالج السبب الجذري ويمكن تحويله إلى طلب سحب للمراجعة.

هل كانت هذه المقالة مفيدة؟