OpenAI
यह पेज मशीन द्वारा अनुवादित है. मूल अंग्रेज़ी आर्टिकल देखें.

Codex Security

अपडेट किया गया: 10 days ago

Codex Security, ChatGPT Enterprise, Edu, Business और Pro उपयोगकर्ताओं के लिए उपलब्ध एक शोध पूर्वावलोकन है. यह टीमों को कोड में भेद्यताओं की पहचान, सत्यापन और सुधार करने में मदद करता है. इसे पारंपरिक स्कैनर की तुलना में सुरक्षा शोधकर्ता की तरह अधिक काम करने के लिए डिज़ाइन किया गया है: यह कोड पढ़ता है, परीक्षण चलाता है, यथार्थवादी हमले के रास्ते तलाशता है, और ऐसे पैच प्रस्तावित करता है जिनकी टीमें अपने सामान्य वर्कफ़्लो में समीक्षा कर सकती हैं.

अवलोकन

आज, Codex Security सीधे GitHub रिपॉज़िटरी से कनेक्ट होता है. किसी रिपॉज़िटरी को सक्षम करने के बाद, यह कोडबेस-विशिष्ट थ्रेट मॉडल बनाता है, रिपॉज़िटरी इतिहास स्कैन करता है, संभावित भेद्यताओं को अलग-थलग वातावरण में सत्यापित करता है, और मानव समीक्षा के लिए प्रस्तावित सुधार सामने लाता है.

Codex Security तीन चरणों के आसपास बनाया गया है: पहचान, सत्यापन और सुधार. पहचान के दौरान, यह रिपॉज़िटरी का विश्लेषण करता है और यथार्थवादी हमले के रास्तों की खोज करता है. सत्यापन के दौरान, यह हर समस्या को दोहराने की कोशिश करता है ताकि पुष्टि हो सके कि वह वास्तविक है. सुधार के दौरान, यह एक ठोस पैच जनरेट करता है जिसकी टीमें समीक्षा कर सकती हैं और उसे पुल रिक्वेस्ट में बदल सकती हैं.

Codex Security कैसे काम करता है

जब Codex Security किसी रिपॉज़िटरी से कनेक्ट होता है, तो यह कमिट को उल्टे कालानुक्रमिक क्रम में स्कैन करता है और कोडबेस-विशिष्ट थ्रेट मॉडल बनाता है. वह मॉडल हमलावर के प्रवेश बिंदु, भरोसे की सीमाएं, संवेदनशील डेटा और उच्च-प्रभाव वाले कोड पथों को कैप्चर करता है, जिनका उपयोग Codex विश्लेषण को यथार्थवादी हमले के परिदृश्यों पर केंद्रित करने के लिए करता है. टीमें थ्रेट मॉडल का निरीक्षण और संपादन कर सकती हैं ताकि यह उनकी वास्तविक डिप्लॉयमेंट धारणाओं को दर्शाए.

Codex Security क्लोज़्ड-लूप सुधार वर्कफ़्लो का पालन करता है:

  1. रिपॉज़िटरी स्कैन करें: Codex आपकी GitHub रिपॉज़िटरी से कनेक्ट होता है, कोडबेस का विश्लेषण करता है, और रिपॉज़िटरी तथा कमिट इतिहास से थ्रेट मॉडल बनाता है.

  2. भेद्यताएं खोजें: उस थ्रेट मॉडल का उपयोग करके, Codex यथार्थवादी कोड पथों की खोज करता है और संभावित भेद्यताओं की पहचान करता है.

  3. सैंडबॉक्स में सत्यापित करें: Codex समस्या को दोहराने, निष्पादन विवरण कैप्चर करने और निष्कर्ष सामने लाने से पहले शोषणयोग्यता की पुष्टि करने के लिए अलग-थलग वातावरण में एक ऑटोमेटेड वैलिडेटर चलाता है.

  4. पैच जनरेट करें: सत्यापित भेद्यताओं के लिए, Codex एक न्यूनतम पैच सुझाव बनाता है जो मूल कारण को संबोधित करता है.

  5. मानव समीक्षा और पुल रिक्वेस्ट: पैच आपके कोड को अपने-आप संशोधित नहीं करता. इसे मानव समीक्षा के लिए सामने लाया जाता है और आपके सामान्य वर्कफ़्लो के लिए पुल रिक्वेस्ट में बदला जा सकता है.

  6. सुधार के बाद फिर से सत्यापित करें: पुष्टि की गई समस्या के पैच होकर मर्ज हो जाने के बाद, Codex सुधार को फिर से सत्यापित कर सकता है, जिससे पहचान से सुधार तक का लूप पूरा होता है.

हर निष्कर्ष के लिए, Codex Security हमले-पथ का विश्लेषण तैयार कर सकता है, जो दिखाता है कि हमलावर-नियंत्रित इनपुट किसी प्रवेश बिंदु से संवेदनशील परिणाम तक कैसे पहुंच सकता है. यह उस पथ को संभावना और प्रभाव के आधार पर स्कोर करता है और अंतर्निहित धारणाओं को दृश्यमान बनाता है, जिससे टीमों को अलग-थलग अलर्ट की बजाय यथार्थवादी जोखिमों को प्राथमिकता देने में मदद मिलती है.

किसी निष्कर्ष को सामने लाने से पहले, Codex Security उसे अलग-थलग वातावरण में दोहराने की कोशिश करता है. वैलिडेटर दोहराने के परिणाम, निष्पादन विवरण और प्रूफ़-ऑफ़-कॉन्सेप्ट आर्टिफ़ैक्ट रिकॉर्ड करता है, ताकि टीमें उन निष्कर्षों पर ध्यान दे सकें जिन्हें सच में काम करते दिखाया गया है.

सत्यापित निष्कर्षों के लिए, Codex Security एक न्यूनतम पैच प्रस्तावित करता है जो मूल कारण को संबोधित करता है. यह आपके कोड को अपने-आप संशोधित नहीं करता. इसके बजाय, पैच मानव समीक्षा के लिए सामने लाया जाता है और आपके मौजूदा वर्कफ़्लो में पुल रिक्वेस्ट में बदला जा सकता है.

शुरू करें

  1. Codex Security पर जाएं.

  2. वे GitHub रिपॉज़िटरी कनेक्ट और सक्षम करें जिन्हें आप चाहते हैं कि Codex Security स्कैन करे.

  3. प्रारंभिक स्कैन पूरा होने तक प्रतीक्षा करें. Codex Security पहले प्रोजेक्ट के लिए थ्रेट मॉडल बनाता है और मौजूदा भेद्यताओं के लिए रिपॉज़िटरी इतिहास स्कैन करता है. बड़े प्रोजेक्ट के लिए इसमें अधिक समय लग सकता है. नए कोड के स्कैन तेज़ होते हैं.

  4. निष्कर्षों, सत्यापन विवरणों और प्रस्तावित पैच की समीक्षा करें.

भूमिका-आधारित एक्सेस नियंत्रण (RBAC)

Enterprise और Edu वर्कस्पेस के लिए, एडमिन वर्कस्पेस अनुमतियों में Codex Security एक्सेस प्रबंधित कर सकते हैं. Codex Security के लिए वर्कस्पेस में Codex Cloud और Codex Security, दोनों का एक्सेस सक्षम होना आवश्यक है. RBAC के ज़रिए एक्सेस को विशिष्ट भूमिकाओं या समूहों तक सीमित भी किया जा सकता है, जिनमें SCIM-सिंक किए गए समूह शामिल हैं. सदस्यों को Codex Security स्कैन कॉन्फ़िगरेशन प्रबंधित करने देने के लिए, उपयुक्त भूमिका या समूह के लिए Codex Security एडमिन अनुमति भी सक्षम करें.

अपने वर्कस्पेस की अनुमतियां अपडेट करने के लिए:

  1. ChatGPT में, अपना प्रोफ़ाइल आइकन चुनें, फिर वर्कस्पेस सेटिंग्स > अनुमतियां चुनकर वर्कस्पेस अनुमतियां खोलें.

  2. Codex Cloud तक नीचे स्क्रॉल करें.

  3. सुनिश्चित करें कि Codex Cloud एक्सेस सक्षम है.

  4. सदस्यों को Codex Security का उपयोग करने दें. को टॉगल करके एक्सेस सक्षम या अक्षम करें.

  5. अगर भूमिका या समूह को स्कैन कॉन्फ़िगरेशन प्रबंधित करने चाहिए, तो सदस्यों को Codex Security का प्रशासन करने दें. भी सक्षम करें.

अपने ChatGPT वर्कस्पेस में भूमिका-आधारित एक्सेस नियंत्रण के बारे में और जानें.

सर्वोत्तम अभ्यास

  • रिपॉज़िटरी के छोटे सेट और समीक्षकों के एक समर्पित समूह से शुरू करें. हम शुरुआत में केंद्रित रोलआउट की सलाह देते हैं, खासकर जब ऑनबोर्डिंग और भेद्यता साझा करना अभी भी अपेक्षाकृत मैनुअल है.

  • सीखते हुए थ्रेट मॉडल को परिष्कृत करें. मॉडल में छोटे अपडेट संदर्भ को बेहतर बना सकते हैं और समय के साथ निष्कर्षों को अधिक सटीक बना सकते हैं.

  • अगर आप आज GitHub Cloud का उपयोग नहीं करते हैं, तो मूल्यांकन के लिए कम जोखिम वाली या गैर-प्रोडक्शन रिपॉज़िटरी से शुरू करने पर विचार करें. इससे टीमों को व्यापक अपनाने से पहले वर्कफ़्लो में भरोसा बनाने में मदद मिल सकती है.

  • जनरेट किए गए पैच PRs की अपने सामान्य समीक्षा प्रोसेस से समीक्षा करें. हम Codex Security PRs पर Codex Code Review का उपयोग करने की भी सलाह देते हैं, ताकि सुधार से रिग्रेशन न आएं.

अक्सर पूछे जाने वाले प्रश्न

क्या Codex Security मेरे कोड को अपने-आप बदलता है?

नहीं. Codex Security मानव समीक्षा के लिए एक पैच प्रस्तावित करता है. उस प्रस्ताव को पुल रिक्वेस्ट में बदला जा सकता है, लेकिन यह आपके कोड को अपने-आप संशोधित नहीं करता.

क्या Codex Security फ़ज़िंग या सिग्नेचर-आधारित स्कैनिंग पर निर्भर करता है?

नहीं. Codex Security फ़ज़िंग या सिग्नेचर-आधारित स्कैनिंग के बजाय भाषा-मॉडल रीज़निंग, टेस्ट-टाइम कंप्यूट, टूल उपयोग और बड़े संदर्भ का उपयोग कर रहा है.

क्या मैं थ्रेट मॉडल का निरीक्षण या संपादन कर सकता हूं?

हां. थ्रेट मॉडल देखा और संपादित किया जा सकता है, ताकि टीमें जांच सकें कि Codex Security एप्लिकेशन को कैसे समझता है और अपने वातावरण से मेल खाने के लिए धारणाएं अपडेट कर सकें.

सत्यापन का क्या मतलब है?

सत्यापन वह चरण है जहां Codex Security किसी संभावित भेद्यता को सामने लाने से पहले उसे अलग-थलग वातावरण में दोहराने की कोशिश करता है. इसका उद्देश्य गलत सकारात्मक परिणामों को कम करना और निष्कर्षों को अधिक उपयोगी बनाए रखना है.

किसी निष्कर्ष के सत्यापित हो जाने के बाद क्या होता है?

सत्यापन के बाद, Codex Security एक पैच प्रस्तावित करता है जो मूल कारण को संबोधित करता है और जिसे समीक्षा के लिए पुल रिक्वेस्ट में बदला जा सकता है.

क्या यह लेख मददगार था?