OpenAI
यह पेज मशीन द्वारा अनुवादित है. मूल अंग्रेज़ी आर्टिकल देखें.

Codex Security

अपडेट किया गया: 9 days ago

Codex Security एक शोध पूर्वावलोकन है जो टीमों को कोड में कमजोरियों की पहचान करने, उन्हें सत्यापित करने और उनका समाधान करने में मदद करता है। इसे पारंपरिक स्कैनर की तुलना में सुरक्षा शोधकर्ता की तरह अधिक काम करने के लिए डिज़ाइन किया गया है: यह कोड पढ़ता है, परीक्षण चलाता है, यथार्थवादी हमले के मार्गों की पड़ताल करता है, और ऐसे पैच सुझाता है जिनकी टीमें अपने सामान्य वर्कफ़्लो में समीक्षा कर सकती हैं।

अवलोकन

आज, Codex Security सीधे GitHub रिपॉज़िटरी से जुड़ता है। आपके किसी रिपॉज़िटरी को सक्षम करने के बाद, यह कोडबेस-विशिष्ट थ्रेट मॉडल बनाता है, रिपॉज़िटरी हिस्ट्री स्कैन करता है, पृथक वातावरण में संभावित कमजोरियों को सत्यापित करता है, और मानव समीक्षा के लिए सुझाए गए सुधार दिखाता है।

Codex Security तीन चरणों पर आधारित है: पहचान, सत्यापन और समाधान। पहचान के दौरान, यह रिपॉज़िटरी का विश्लेषण करता है और यथार्थवादी हमले के मार्गों की पड़ताल करता है। सत्यापन के दौरान, यह हर समस्या को पुन: उत्पन्न करने की कोशिश करता है ताकि पुष्टि हो सके कि वह वास्तविक है। समाधान के दौरान, यह एक ठोस पैच तैयार करता है जिसकी टीमें समीक्षा कर सकती हैं और उसे पुल रिक्वेस्ट में बदल सकती हैं।

Codex Security कैसे काम करता है

जब Codex Security किसी रिपॉज़िटरी से जुड़ता है, तो यह कमिट्स को उल्टे कालानुक्रमिक क्रम में स्कैन करता है और कोडबेस-विशिष्ट थ्रेट मॉडल बनाता है। यह मॉडल हमलावर के प्रवेश बिंदुओं, ट्रस्ट बाउंडरी, संवेदनशील डेटा और उच्च-प्रभाव वाले कोड पाथ को कैप्चर करता है, जिनका उपयोग Codex यथार्थवादी हमले के परिदृश्यों पर विश्लेषण केंद्रित करने के लिए करता है। टीमें थ्रेट मॉडल की जांच और संपादन कर सकती हैं ताकि वह उनकी वास्तविक डिप्लॉयमेंट धारणाओं को दर्शाए।

Codex Security एक क्लोज़्ड-लूप समाधान वर्कफ़्लो का पालन करता है:

  1. रिपॉज़िटरी स्कैन करें: Codex आपकी GitHub रिपॉज़िटरी से जुड़ता है, कोडबेस का विश्लेषण करता है, और रिपॉज़िटरी तथा कमिट हिस्ट्री से थ्रेट मॉडल बनाता है।

  2. कमजोरियां खोजें: उस थ्रेट मॉडल का उपयोग करके, Codex यथार्थवादी कोड पाथ की पड़ताल करता है और संभावित कमजोरियों की पहचान करता है।

  3. सैंडबॉक्स में सत्यापित करें: Codex एक पृथक वातावरण में स्वचालित वैलिडेटर चलाता है ताकि समस्या को पुन: उत्पन्न किया जा सके, निष्पादन विवरण कैप्चर किए जा सकें, और निष्कर्ष दिखाने से पहले उसके शोषण योग्य होने की पुष्टि की जा सके।

  4. पैच तैयार करें: सत्यापित कमजोरियों के लिए, Codex ऐसा न्यूनतम पैच सुझाव देता है जो मूल कारण का समाधान करता है।

  5. मानव समीक्षा और पुल रिक्वेस्ट: पैच आपके कोड को अपने आप संशोधित नहीं करता। इसे मानव समीक्षा के लिए दिखाया जाता है और आपके सामान्य वर्कफ़्लो के लिए इसे पुल रिक्वेस्ट में बदला जा सकता है।

  6. समाधान के बाद फिर से सत्यापित करें: किसी पुष्टि की गई समस्या पर पैच लगने और मर्ज होने के बाद, Codex सुधार को फिर से सत्यापित कर सकता है, जिससे पहचान से समाधान तक का चक्र पूरा हो जाता है।

हर निष्कर्ष के लिए, Codex Security हमले-मार्ग का विश्लेषण तैयार कर सकता है, जो दिखाता है कि हमलावर-नियंत्रित इनपुट किसी प्रवेश बिंदु से संवेदनशील परिणाम तक कैसे पहुंच सकता है। यह उस मार्ग को संभावना और प्रभाव के आधार पर स्कोर देता है और अंतर्निहित धारणाओं को स्पष्ट करता है, जिससे टीमों को अलग-थलग अलर्ट की तुलना में यथार्थवादी जोखिमों को प्राथमिकता देने में मदद मिलती है।

किसी निष्कर्ष को दिखाने से पहले, Codex Security उसे पृथक वातावरण में पुन: उत्पन्न करने की कोशिश करता है। वैलिडेटर पुनरुत्पादन परिणाम, निष्पादन विवरण और प्रूफ-ऑफ-कॉन्सेप्ट आर्टिफैक्ट्स रिकॉर्ड करता है ताकि टीमें उन निष्कर्षों पर ध्यान केंद्रित कर सकें जिनके काम करने का वास्तव में प्रदर्शन किया गया है।

सत्यापित निष्कर्षों के लिए, Codex Security ऐसा न्यूनतम पैच सुझाता है जो मूल कारण का समाधान करता है। यह आपके कोड को अपने आप संशोधित नहीं करता। इसके बजाय, पैच को मानव समीक्षा के लिए दिखाया जाता है और आपके मौजूदा वर्कफ़्लो में इसे पुल रिक्वेस्ट में बदला जा सकता है।

शुरू करें

  1. chatgpt.com/codex/security पर जाएं।

  2. उन GitHub रिपॉज़िटरी को कनेक्ट करें और सक्षम करें जिन्हें आप Codex Security से स्कैन कराना चाहते हैं।

  3. प्रारंभिक स्कैन पूरा होने की प्रतीक्षा करें। Codex Security पहले प्रोजेक्ट के लिए थ्रेट मॉडल बनाता है और मौजूदा कमजोरियों के लिए रिपॉज़िटरी हिस्ट्री स्कैन करता है। बड़े प्रोजेक्ट्स के लिए इसमें अधिक समय लग सकता है। नए कोड के स्कैन तेज़ होते हैं।

  4. निष्कर्षों, सत्यापन विवरणों और सुझाए गए पैच की समीक्षा करें।

भूमिका-आधारित एक्सेस नियंत्रण (RBAC)

Enterprise और Edu वर्कस्पेस के लिए, एडमिन वर्कस्पेस अनुमतियों में Codex Security एक्सेस प्रबंधित कर सकते हैं। Codex Security के लिए वर्कस्पेस में Codex Cloud और Codex Security दोनों का एक्सेस सक्षम होना आवश्यक है। RBAC के माध्यम से, जिसमें SCIM-सिंक किए गए समूह भी शामिल हैं, एक्सेस को विशिष्ट भूमिकाओं या समूहों तक भी सीमित किया जा सकता है। सदस्यों को Codex Security स्कैन कॉन्फ़िगरेशन प्रबंधित करने देने के लिए, उपयुक्त भूमिका या समूह के लिए Codex Security एडमिन अनुमति भी सक्षम करें।

अपने वर्कस्पेस की अनुमतियां अपडेट करने के लिए:

  1. ChatGPT में, अपने प्रोफ़ाइल आइकन पर क्लिक करें और वर्कस्पेस अनुमतियां पेज पर जाने के लिए Workspace Settings -> Permissions चुनें।

  2. Codex Cloud तक नीचे स्क्रॉल करें।

  3. सुनिश्चित करें कि Codex Cloud एक्सेस सक्षम है।

  4. Allow members to use Codex Security. को टॉगल करके एक्सेस सक्षम या अक्षम करें।

  5. यदि भूमिका या समूह को स्कैन कॉन्फ़िगरेशन प्रबंधित करना चाहिए, तो Allow members to administer Codex Security. भी सक्षम करें।

अपने ChatGPT वर्कस्पेस में भूमिका-आधारित एक्सेस नियंत्रण के बारे में और जानें।

सर्वोत्तम प्रथाएं

  • रिपॉज़िटरी के एक छोटे सेट और समीक्षकों के एक समर्पित समूह से शुरुआत करें। हम पहले सीमित दायरे में शुरुआत करने की सलाह देते हैं, खासकर तब जब ऑनबोर्डिंग और कमजोरियों को साझा करना अभी भी अपेक्षाकृत मैन्युअल हो।

  • सीखते हुए थ्रेट मॉडल को परिष्कृत करें। मॉडल में छोटे अपडेट समय के साथ संदर्भ को बेहतर बना सकते हैं और निष्कर्षों को अधिक सटीक बना सकते हैं।

  • यदि आप आज GitHub Cloud का उपयोग नहीं करते हैं, तो मूल्यांकन के लिए कम-जोखिम वाली या गैर-प्रोडक्शन रिपॉज़िटरी से शुरुआत करने पर विचार करें। इससे व्यापक अपनाने से पहले टीमों को वर्कफ़्लो में विश्वास बनाने में मदद मिल सकती है।

  • जनरेट किए गए पैच PRs की समीक्षा अपनी सामान्य समीक्षा प्रक्रिया से करें। हम यह भी सलाह देते हैं कि Codex Security PRs पर Codex Code Review का उपयोग करें ताकि समाधान के कारण रिग्रेशन न आएं।

अक्सर पूछे जाने वाले प्रश्न

क्या Codex Security अपने आप मेरे कोड में बदलाव करता है?

नहीं। Codex Security मानव समीक्षा के लिए एक पैच सुझाता है। उस सुझाव को पुल रिक्वेस्ट में बदला जा सकता है, लेकिन यह आपके कोड को अपने आप संशोधित नहीं करता।

क्या Codex Security फज़िंग या सिग्नेचर-आधारित स्कैनिंग पर निर्भर करता है?

नहीं। Codex Security फज़िंग या सिग्नेचर-आधारित स्कैनिंग के बजाय भाषा-मॉडल रीज़निंग, टेस्ट-टाइम कंप्यूट, टूल उपयोग और बड़े कॉन्टेक्स्ट का उपयोग करता है।

क्या मैं थ्रेट मॉडल की जांच या संपादन कर सकता हूं?

हां। थ्रेट मॉडल दिखाई देता है और संपादन योग्य है, ताकि टीमें देख सकें कि Codex Security एप्लिकेशन को कैसे समझता है और अपने वातावरण के अनुरूप धारणाओं को अपडेट कर सकें।

सत्यापन का क्या अर्थ है?

सत्यापन वह चरण है जिसमें Codex Security किसी संभावित कमजोरी को दिखाने से पहले उसे पृथक वातावरण में पुन: उत्पन्न करने की कोशिश करता है। इसका उद्देश्य गलत सकारात्मक परिणामों को कम करना और निष्कर्षों को उच्च-सिग्नल बनाए रखना है।

किसी निष्कर्ष के सत्यापित होने के बाद क्या होता है?

सत्यापन के बाद, Codex Security ऐसा पैच सुझाता है जो मूल कारण का समाधान करता है और जिसे समीक्षा के लिए पुल रिक्वेस्ट में बदला जा सकता है।

क्या यह लेख मददगार था?