Codex Security হলো একটি গবেষণা প্রিভিউ, যা ChatGPT Enterprise, Edu, Business, এবং Pro ব্যবহারকারীদের জন্য উপলভ্য. এটি দলগুলোকে কোডে দুর্বলতা শনাক্ত, যাচাই, এবং প্রতিকার করতে সাহায্য করে. এটি প্রচলিত স্ক্যানারের চেয়ে একজন নিরাপত্তা গবেষকের মতো কাজ করার জন্য তৈরি: এটি কোড পড়ে, পরীক্ষা চালায়, বাস্তবসম্মত আক্রমণপথ অনুসন্ধান করে, এবং এমন প্যাচ প্রস্তাব করে যা দলগুলো তাদের স্বাভাবিক ওয়ার্কফ্লোতে পর্যালোচনা করতে পারে.
সংক্ষিপ্ত বিবরণ
বর্তমানে, Codex Security সরাসরি GitHub রিপোজিটরির সঙ্গে সংযুক্ত হয়. আপনি একটি রিপোজিটরি সক্রিয় করার পরে, এটি কোডবেস-নির্দিষ্ট থ্রেট মডেল তৈরি করে, রিপোজিটরির ইতিহাস স্ক্যান করে, বিচ্ছিন্ন পরিবেশে সম্ভাব্য দুর্বলতা যাচাই করে, এবং মানব পর্যালোচনার জন্য প্রস্তাবিত সংশোধন সামনে আনে.
Codex Security তিনটি ধাপকে কেন্দ্র করে তৈরি: শনাক্তকরণ, যাচাইকরণ, এবং প্রতিকার. শনাক্তকরণের সময়, এটি রিপোজিটরি বিশ্লেষণ করে এবং বাস্তবসম্মত আক্রমণপথ অনুসন্ধান করে. যাচাইকরণের সময়, এটি প্রতিটি সমস্যা বাস্তব কি না নিশ্চিত করতে সেটি পুনরুৎপাদনের চেষ্টা করে. প্রতিকারের সময়, এটি একটি নির্দিষ্ট প্যাচ তৈরি করে যা দলগুলো পর্যালোচনা করে পুল রিকোয়েস্ট হিসেবে তুলতে পারে.
Codex Security কীভাবে কাজ করে
Codex Security কোনো রিপোজিটরির সঙ্গে সংযুক্ত হলে, এটি বিপরীত কালানুক্রমিক ক্রমে কমিট স্ক্যান করে এবং কোডবেস-নির্দিষ্ট থ্রেট মডেল তৈরি করে. সেই মডেল আক্রমণকারীর প্রবেশ পয়েন্ট, ট্রাস্ট বাউন্ডারি, সংবেদনশীল ডেটা, এবং উচ্চ-প্রভাবের কোড পথ ধারণ করে, যা Codex বাস্তবসম্মত আক্রমণ পরিস্থিতিতে বিশ্লেষণ কেন্দ্রীভূত করতে ব্যবহার করে. দলগুলো থ্রেট মডেল পরিদর্শন ও সম্পাদনা করতে পারে, যাতে এটি তাদের বাস্তব ডিপ্লয়মেন্ট অনুমান প্রতিফলিত করে.
Codex Security একটি ক্লোজড-লুপ প্রতিকার ওয়ার্কফ্লো অনুসরণ করে:
রিপোজিটরি স্ক্যান করুন: Codex আপনার GitHub রিপোজিটরির সঙ্গে সংযুক্ত হয়, কোডবেস বিশ্লেষণ করে, এবং রিপোজিটরি ও কমিট ইতিহাস থেকে একটি থ্রেট মডেল তৈরি করে.
দুর্বলতা আবিষ্কার করুন: সেই থ্রেট মডেল ব্যবহার করে, Codex বাস্তবসম্মত কোড পথ অনুসন্ধান করে এবং সম্ভাব্য দুর্বলতা শনাক্ত করে.
স্যান্ডবক্সে যাচাই করুন: ফাইন্ডিং সামনে আনার আগে, Codex একটি বিচ্ছিন্ন পরিবেশে স্বয়ংক্রিয় ভ্যালিডেটর চালিয়ে সমস্যাটি পুনরুৎপাদন করে, এক্সিকিউশনের বিস্তারিত সংগ্রহ করে, এবং এক্সপ্লয়েটযোগ্যতা নিশ্চিত করে.
একটি প্যাচ তৈরি করুন: যাচাই করা দুর্বলতার জন্য, Codex একটি ন্যূনতম প্যাচ প্রস্তাব তৈরি করে যা মূল কারণ সমাধান করে.
মানব পর্যালোচনা এবং পুল রিকোয়েস্ট: প্যাচটি স্বয়ংক্রিয়ভাবে আপনার কোড পরিবর্তন করে না. এটি মানব পর্যালোচনার জন্য সামনে আনা হয় এবং আপনার স্বাভাবিক ওয়ার্কফ্লোর জন্য পুল রিকোয়েস্টে রূপান্তর করা যায়.
প্রতিকারের পরে পুনরায় যাচাই করুন: কোনো নিশ্চিত সমস্যা প্যাচ করে মার্জ করার পরে, Codex সংশোধনটি পুনরায় যাচাই করতে পারে, শনাক্তকরণ থেকে প্রতিকার পর্যন্ত লুপটি বন্ধ করে.
প্রতিটি ফাইন্ডিংয়ের জন্য, Codex Security আক্রমণপথ বিশ্লেষণ তৈরি করতে পারে, যা দেখায় আক্রমণকারীর নিয়ন্ত্রিত ইনপুট কীভাবে কোনো প্রবেশ পয়েন্ট থেকে সংবেদনশীল ফলাফলে যেতে পারে. এটি সম্ভাবনা এবং প্রভাব অনুযায়ী সেই পথের স্কোর দেয় এবং অন্তর্নিহিত অনুমানগুলো দৃশ্যমান করে, যা দলগুলোকে বিচ্ছিন্ন সতর্কতার বদলে বাস্তবসম্মত ঝুঁকিকে অগ্রাধিকার দিতে সাহায্য করে.
কোনো ফাইন্ডিং সামনে আনার আগে, Codex Security একটি বিচ্ছিন্ন পরিবেশে সেটি পুনরুৎপাদনের চেষ্টা করে. ভ্যালিডেটর পুনরুৎপাদনের ফলাফল, এক্সিকিউশনের বিস্তারিত, এবং প্রুফ-অফ-কনসেপ্ট আর্টিফ্যাক্ট রেকর্ড করে, যাতে দলগুলো বাস্তবে কাজ করে দেখানো হয়েছে এমন ফাইন্ডিংয়ে মনোযোগ দিতে পারে.
যাচাই করা ফাইন্ডিংয়ের জন্য, Codex Security একটি ন্যূনতম প্যাচ প্রস্তাব করে যা মূল কারণ সমাধান করে. এটি স্বয়ংক্রিয়ভাবে আপনার কোড পরিবর্তন করে না. বরং, প্যাচটি মানব পর্যালোচনার জন্য সামনে আনা হয় এবং আপনার বিদ্যমান ওয়ার্কফ্লোতে পুল রিকোয়েস্টে রূপান্তর করা যায়.
শুরু করুন
Codex Security-এ যান.
Codex Security দিয়ে স্ক্যান করাতে চান এমন GitHub রিপোজিটরিগুলো সংযুক্ত ও সক্রিয় করুন.
প্রাথমিক স্ক্যান শেষ হওয়ার জন্য অপেক্ষা করুন. Codex Security প্রথমে প্রকল্পের জন্য একটি থ্রেট মডেল তৈরি করে এবং বিদ্যমান দুর্বলতার জন্য রিপোজিটরির ইতিহাস স্ক্যান করে. বড় প্রকল্পের ক্ষেত্রে এতে বেশি সময় লাগতে পারে. নতুন কোডের স্ক্যান দ্রুত হয়.
ফাইন্ডিং, যাচাইয়ের বিস্তারিত, এবং প্রস্তাবিত প্যাচ পর্যালোচনা করুন.
ভূমিকা-ভিত্তিক অ্যাক্সেস নিয়ন্ত্রণ (RBAC)
Enterprise এবং Edu ওয়ার্কস্পেসে, অ্যাডমিনরা ওয়ার্কস্পেসের অনুমতিসমূহে Codex Security অ্যাক্সেস পরিচালনা করতে পারেন. Codex Security-এর জন্য ওয়ার্কস্পেসে Codex Cloud এবং Codex Security উভয় অ্যাক্সেসই সক্রিয় থাকতে হবে. RBAC-এর মাধ্যমে নির্দিষ্ট ভূমিকা বা গ্রুপেও অ্যাক্সেস সীমিত করা যেতে পারে, যার মধ্যে SCIM-সিঙ্ক করা গ্রুপও রয়েছে. সদস্যদের Codex Security স্ক্যান কনফিগারেশন পরিচালনা করতে দিতে, উপযুক্ত ভূমিকা বা গ্রুপের জন্য Codex Security অ্যাডমিন অনুমতিও সক্রিয় করুন.
আপনার ওয়ার্কস্পেসের অনুমতিসমূহ আপডেট করতে:
ChatGPT-এ, আপনার প্রোফাইল আইকন নির্বাচন করুন, তারপর ওয়ার্কস্পেস সেটিংস > অনুমতিসমূহ নির্বাচন করে ওয়ার্কস্পেসের অনুমতিসমূহ খুলুন.
নিচে স্ক্রল করে Codex Cloud-এ যান.
Codex Cloud অ্যাক্সেস সক্রিয় আছে কি না নিশ্চিত করুন.
সদস্যদের Codex Security ব্যবহার করতে অনুমতি দিন. টগল করে অ্যাক্সেস সক্রিয় বা নিষ্ক্রিয় করুন.
ভূমিকা বা গ্রুপের যদি স্ক্যান কনফিগারেশন পরিচালনা করা উচিত হয়, তবে সদস্যদের Codex Security প্রশাসন করতে অনুমতি দিন. এটিও সক্রিয় করুন.
আপনার ChatGPT ওয়ার্কস্পেসে ভূমিকা-ভিত্তিক অ্যাক্সেস নিয়ন্ত্রণ সম্পর্কে আরও জানুন.
সেরা চর্চা
অল্প কয়েকটি রিপোজিটরি এবং পর্যালোচকদের একটি নিবেদিত গ্রুপ দিয়ে শুরু করুন. আমরা প্রথমে একটি কেন্দ্রীভূত রোলআউটের সুপারিশ করি, বিশেষ করে অনবোর্ডিং এবং দুর্বলতা শেয়ারিং এখনও তুলনামূলকভাবে ম্যানুয়াল থাকা অবস্থায়.
শিখতে শিখতে থ্রেট মডেলটি পরিমার্জন করুন. মডেলে ছোট আপডেট সময়ের সঙ্গে প্রসঙ্গ উন্নত করতে এবং ফাইন্ডিংগুলোকে আরও নির্ভুল করতে পারে.
আপনি যদি বর্তমানে GitHub Cloud ব্যবহার না করেন, মূল্যায়নের জন্য কম-ঝুঁকির বা নন-প্রোডাকশন রিপোজিটরি দিয়ে শুরু করার কথা বিবেচনা করুন. এটি ব্যাপকভাবে গ্রহণের আগে দলগুলোকে ওয়ার্কফ্লোতে আস্থা তৈরি করতে সাহায্য করতে পারে.
আপনার স্বাভাবিক পর্যালোচনা প্রক্রিয়ায় তৈরি করা প্যাচ PRs পর্যালোচনা করুন. আমরা Codex Security PRs-এ Codex Code Review ব্যবহার করারও সুপারিশ করি, যাতে প্রতিকার নতুন রিগ্রেশন তৈরি না করে.
প্রায়শই জিজ্ঞাসিত প্রশ্ন
Codex Security কি স্বয়ংক্রিয়ভাবে আমার কোড পরিবর্তন করে?
না. Codex Security মানব পর্যালোচনার জন্য একটি প্যাচ প্রস্তাব করে. সেই প্রস্তাবটি পুল রিকোয়েস্টে রূপান্তর করা যেতে পারে, তবে এটি স্বয়ংক্রিয়ভাবে আপনার কোড পরিবর্তন করে না.
Codex Security কি ফাজিং বা স্বাক্ষর-ভিত্তিক স্ক্যানিংয়ের উপর নির্ভর করে?
না. Codex Security ফাজিং বা স্বাক্ষর-ভিত্তিক স্ক্যানিংয়ের বদলে ভাষা-মডেলের যুক্তি, পরীক্ষা-সময়ের কম্পিউট, টুল ব্যবহার, এবং বড় প্রসঙ্গ ব্যবহার করছে.
আমি কি থ্রেট মডেল পরিদর্শন বা সম্পাদনা করতে পারি?
হ্যাঁ. থ্রেট মডেল দেখা এবং সম্পাদনা করা যায়, তাই দলগুলো Codex Security কীভাবে অ্যাপ্লিকেশনটি বোঝে তা পরিদর্শন করতে পারে এবং তাদের পরিবেশের সঙ্গে মিল রাখতে অনুমানগুলো আপডেট করতে পারে.
যাচাইকরণ বলতে কী বোঝায়?
যাচাইকরণ হলো সেই ধাপ যেখানে Codex Security কোনো সম্ভাব্য দুর্বলতা সামনে আনার আগে একটি বিচ্ছিন্ন পরিবেশে সেটি পুনরুৎপাদন করার চেষ্টা করে. এর উদ্দেশ্য হলো ভুল পজিটিভ কমানো এবং ফাইন্ডিংগুলোকে উচ্চ-সংকেতপূর্ণ রাখা.
কোনো ফাইন্ডিং যাচাই হওয়ার পরে কী ঘটে?
যাচাইয়ের পরে, Codex Security একটি প্যাচ প্রস্তাব করে যা মূল কারণ সমাধান করে এবং পর্যালোচনার জন্য পুল রিকোয়েস্টে রূপান্তর করা যায়.