OpenAI
Ova je stranica strojno prevedena. Pogledajte izvorni članak na engleskom jeziku.

Sigurnost Codexa

Ažurirano: 2 days ago

Codex Security istraživački je pretpregled dostupan korisnicima usluga ChatGPT Enterprise, Edu, Business i Pro. Pomaže timovima prepoznati, potvrditi i sanirati ranjivosti u kodu. Osmišljen je da radi više poput istraživača sigurnosti nego tradicionalnog skenera: čita kod, pokreće testove, istražuje realistične putove napada i predlaže zakrpe koje timovi mogu pregledati u svojem uobičajenom tijeku rada.

Pregled

Danas se Codex Security izravno povezuje s GitHub repozitorijima. Nakon što omogućite repozitorij, izrađuje model prijetnji specifičan za bazu koda, skenira povijest repozitorija, potvrđuje potencijalne ranjivosti u izoliranom okruženju i prikazuje predložene popravke za ljudski pregled.

Codex Security izgrađen je oko tri faze: identifikacije, potvrde i sanacije. Tijekom identifikacije analizira repozitorij i istražuje realistične putove napada. Tijekom potvrde pokušava reproducirati svaki problem kako bi potvrdio da je stvaran. Tijekom sanacije generira konkretnu zakrpu koju timovi mogu pregledati i pretvoriti u pull request.

Kako funkcionira Codex Security

Kada se Codex Security poveže s repozitorijem, skenira commitove obrnutim kronološkim redoslijedom i izrađuje model prijetnji specifičan za bazu koda. Taj model obuhvaća ulazne točke napadača, granice povjerenja, osjetljive podatke i putove koda s velikim utjecajem, koje Codex upotrebljava za usmjeravanje analize na realistične scenarije napada. Timovi mogu pregledati i urediti model prijetnji kako bi odražavao njihove stvarne pretpostavke o implementaciji.

Codex Security slijedi zatvoreni tijek rada za sanaciju:

  1. Skeniranje repozitorija: Codex se povezuje s vašim GitHub repozitorijem, analizira bazu koda i izrađuje model prijetnji na temelju repozitorija i povijesti commitova.

  2. Otkrivanje ranjivosti: Pomoću tog modela prijetnji Codex istražuje realistične putove koda i prepoznaje potencijalne ranjivosti.

  3. Potvrda u sandboxu: Codex pokreće automatizirani validator u izoliranom okruženju kako bi reproducirao problem, zabilježio pojedinosti izvršavanja i potvrdio mogućnost iskorištavanja prije prikazivanja nalaza.

  4. Generiranje zakrpe: Za potvrđene ranjivosti Codex izrađuje prijedlog minimalne zakrpe koja rješava temeljni uzrok.

  5. Ljudski pregled i pull request: Zakrpa ne mijenja vaš kod automatski. Prikazuje se za ljudski pregled i može se pretvoriti u pull request za vaš uobičajeni tijek rada.

  6. Ponovna potvrda nakon sanacije: Nakon što se potvrđeni problem zakrpa i spoji, Codex može ponovno potvrditi popravak, zatvarajući petlju od otkrivanja do sanacije.

Za svaki nalaz Codex Security može izraditi analizu puta napada koja pokazuje kako bi se unos pod kontrolom napadača mogao kretati od ulazne točke do osjetljivog ishoda. Taj put ocjenjuje prema vjerojatnosti i utjecaju te čini temeljne pretpostavke vidljivima, što pomaže timovima da daju prednost realističnim rizicima pred izoliranim upozorenjima.

Prije prikazivanja nalaza Codex Security pokušava ga reproducirati u izoliranom okruženju. Validator bilježi rezultate reprodukcije, pojedinosti izvršavanja i artefakte dokaza koncepta kako bi se timovi mogli usredotočiti na nalaze za koje je stvarno pokazano da funkcioniraju.

Za potvrđene nalaze Codex Security predlaže minimalnu zakrpu koja rješava temeljni uzrok. Ne mijenja vaš kod automatski. Umjesto toga, zakrpa se prikazuje za ljudski pregled i može se pretvoriti u pull request u vašem postojećem tijeku rada.

Početak rada

  1. Idite na Codex Security.

  2. Povežite i omogućite GitHub repozitorije koje želite da Codex Security skenira.

  3. Pričekajte da se početno skeniranje dovrši. Codex Security najprije izrađuje model prijetnji za projekt i skenira povijest repozitorija radi postojećih ranjivosti. To može potrajati dulje za velike projekte. Skeniranja novog koda brža su.

  4. Pregledajte nalaze, pojedinosti potvrde i predložene zakrpe.

Kontrole pristupa temeljene na ulogama (RBAC)

Za radne prostore Enterprise i Edu administratori mogu upravljati pristupom značajci Codex Security u dopuštenjima radnog prostora. Codex Security zahtijeva da za radni prostor budu omogućeni pristup značajkama Codex Cloud i Codex Security. Pristup se može ograničiti i na određene uloge ili grupe putem RBAC-a, uključujući grupe sinkronizirane putem SCIM-a. Da biste članovima omogućili upravljanje konfiguracijama skeniranja za Codex Security, omogućite i administratorsko dopuštenje za Codex Security za odgovarajuću ulogu ili grupu.

Da biste ažurirali dopuštenja svojeg radnog prostora:

  1. U ChatGPT-u odaberite ikonu svojeg profila, a zatim odaberite Postavke radnog prostora > Dopuštenja da biste otvorili dopuštenja radnog prostora.

  2. Pomaknite se dolje do Codex Cloud.

  3. Provjerite je li pristup značajci Codex Cloud omogućen.

  4. Omogućite ili onemogućite pristup preklopnikom Dopusti članovima upotrebu značajke Codex Security.

  5. Ako uloga ili grupa treba upravljati konfiguracijama skeniranja, omogućite i Dopusti članovima administriranje značajke Codex Security.

Saznajte više o kontrolama pristupa temeljenima na ulogama u svojem radnom prostoru za ChatGPT.

Najbolje prakse

  • Započnite s malim skupom repozitorija i namjenskom grupom pregledavatelja. Preporučujemo isprva usmjereno uvođenje, osobito dok su uključivanje korisnika i dijeljenje ranjivosti još relativno ručni.

  • Dorađujte model prijetnji kako učite. Male izmjene modela mogu poboljšati kontekst i s vremenom učiniti nalaze preciznijima.

  • Ako danas ne upotrebljavate GitHub Cloud, razmislite o tome da za procjenu započnete s repozitorijima nižeg rizika ili onima koji nisu produkcijski. To može pomoći timovima da izgrade povjerenje u tijek rada prije šireg usvajanja.

  • Pregledajte generirane PR-ove sa zakrpama svojim uobičajenim postupkom pregleda. Preporučujemo i upotrebu značajke Codex Code Review na PR-ovima značajke Codex Security kako sanacija ne bi uvela regresije.

Česta pitanja

Mijenja li Codex Security moj kod automatski?

Ne. Codex Security predlaže zakrpu za ljudski pregled. Taj se prijedlog može pretvoriti u pull request, ali ne mijenja vaš kod automatski.

Oslanja li se Codex Security na fuzzing ili skeniranje temeljeno na potpisima?

Ne. Codex Security upotrebljava rasuđivanje jezičnog modela, računanje tijekom testiranja, upotrebu alata i velik kontekst, umjesto fuzzinga ili skeniranja temeljenog na potpisima.

Mogu li pregledati ili urediti model prijetnji?

Da. Model prijetnji vidljiv je i može se uređivati, pa timovi mogu provjeriti kako Codex Security razumije aplikaciju i ažurirati pretpostavke kako bi odgovarale njihovu okruženju.

Što znači potvrda?

Potvrda je korak u kojem Codex Security pokušava reproducirati potencijalnu ranjivost u izoliranom okruženju prije nego što je prikaže. Time se želi smanjiti broj lažno pozitivnih rezultata i održati nalazi relevantnima.

Što se događa nakon što se nalaz potvrdi?

Nakon potvrde Codex Security predlaže zakrpu koja rješava temeljni uzrok i može se pretvoriti u pull request za pregled.

Je li vam ovaj članak bio koristan?