OpenAI
Bu sayfanın çevirisi otomatik olarak yapılmıştır. Orijinal İngilizce makaleyi görüntüleyin.

Codex Güvenliği

Güncellenme zamanı: 6 hours ago

Codex Security, ChatGPT Enterprise, Edu, Business ve Pro kullanıcıları için sunulan bir araştırma önizlemesidir. Ekiplerin koddaki güvenlik açıklarını belirlemesine, doğrulamasına ve gidermesine yardımcı olur. Geleneksel bir tarayıcıdan çok bir güvenlik araştırmacısı gibi çalışacak şekilde tasarlanmıştır: kodu okur, testler çalıştırır, gerçekçi saldırı yollarını inceler ve ekiplerin normal iş akışlarında inceleyebileceği yamalar önerir.

Genel bakış

Codex Security şu anda doğrudan GitHub depolarına bağlanır. Bir depoyu etkinleştirdikten sonra, koda özgü bir tehdit modeli oluşturur, depo geçmişini tarar, olası güvenlik açıklarını yalıtılmış bir ortamda doğrular ve insan incelemesi için önerilen düzeltmeleri yüzeye çıkarır.

Codex Security üç aşama etrafında oluşturulmuştur: belirleme, doğrulama ve giderme. Belirleme sırasında depoyu analiz eder ve gerçekçi saldırı yollarını inceler. Doğrulama sırasında, her sorunun gerçek olduğunu onaylamak için onu yeniden üretmeye çalışır. Giderme sırasında, ekiplerin inceleyip bir çekme isteğine dönüştürebileceği somut bir yama oluşturur.

Codex Security nasıl çalışır?

Codex Security bir depoya bağlandığında, commit’leri ters kronolojik sırayla tarar ve koda özgü bir tehdit modeli oluşturur. Bu model; saldırgan giriş noktalarını, güven sınırlarını, hassas verileri ve yüksek etkili kod yollarını yakalar. Codex bunları, analizi gerçekçi saldırı senaryolarına odaklamak için kullanır. Ekipler, tehdit modelinin gerçek dağıtım varsayımlarını yansıtması için modeli inceleyebilir ve düzenleyebilir.

Codex Security kapalı döngü bir giderme iş akışı izler:

  1. Depoyu tara: Codex GitHub deponuza bağlanır, kod tabanını analiz eder ve depo ile commit geçmişinden bir tehdit modeli oluşturur.

  2. Güvenlik açıklarını keşfet: Codex bu tehdit modelini kullanarak gerçekçi kod yollarını inceler ve olası güvenlik açıklarını belirler.

  3. Korumalı alanda doğrula: Codex, bulguyu yüzeye çıkarmadan önce sorunu yeniden üretmek, yürütme ayrıntılarını yakalamak ve istismar edilebilirliği onaylamak için yalıtılmış bir ortamda otomatik bir doğrulayıcı çalıştırır.

  4. Yama oluştur: Codex, doğrulanmış güvenlik açıkları için kök nedeni ele alan minimal bir yama önerisi üretir.

  5. İnsan incelemesi ve çekme isteği: Yama kodunuzu otomatik olarak değiştirmez. İnsan incelemesi için yüzeye çıkarılır ve normal iş akışınızda bir çekme isteğine dönüştürülebilir.

  6. Giderme sonrası yeniden doğrula: Onaylanmış bir sorun yamalanıp birleştirildikten sonra Codex düzeltmeyi yeniden doğrulayabilir ve tespitten gidermeye uzanan döngüyü kapatır.

Codex Security, her bulgu için saldırgan denetimindeki girdinin bir giriş noktasından hassas bir sonuca nasıl ilerleyebileceğini gösteren saldırı yolu analizi üretebilir. Bu yolu olasılık ve etkiye göre puanlar ve temel varsayımları görünür kılar; bu da ekiplerin yalıtılmış uyarılar yerine gerçekçi riskleri önceliklendirmesine yardımcı olur.

Codex Security bir bulguyu yüzeye çıkarmadan önce onu yalıtılmış bir ortamda yeniden üretmeye çalışır. Doğrulayıcı, yeniden üretme sonuçlarını, yürütme ayrıntılarını ve kavram kanıtı yapıtlarını kaydeder; böylece ekipler gerçekten çalıştığı gösterilmiş bulgulara odaklanabilir.

Codex Security, doğrulanmış bulgular için kök nedeni ele alan minimal bir yama önerir. Kodunuzu otomatik olarak değiştirmez. Bunun yerine yama, insan incelemesi için yüzeye çıkarılır ve mevcut iş akışınızda bir çekme isteğine dönüştürülebilir.

Başlayın

  1. Codex Security’ye gidin.

  2. Codex Security’nin taramasını istediğiniz GitHub depolarını bağlayın ve etkinleştirin.

  3. İlk taramanın tamamlanmasını bekleyin. Codex Security önce proje için bir tehdit modeli oluşturur ve mevcut güvenlik açıkları için depo geçmişini tarar. Büyük projelerde bu daha uzun sürebilir. Yeni kod taramaları daha hızlıdır.

  4. Bulguları, doğrulama ayrıntılarını ve önerilen yamaları inceleyin.

Rol tabanlı erişim denetimleri (RBAC)

Enterprise ve Edu çalışma alanlarında yöneticiler, Codex Security erişimini çalışma alanı izinlerinden yönetebilir. Codex Security, çalışma alanı için hem Codex Cloud hem de Codex Security erişiminin etkinleştirilmesini gerektirir. Erişim, SCIM ile senkronize edilen gruplar dahil olmak üzere RBAC aracılığıyla belirli roller veya gruplarla da sınırlandırılabilir. Üyelerin Codex Security tarama yapılandırmalarını yönetmesine izin vermek için uygun rol veya grup için Codex Security yönetici iznini de etkinleştirin.

Çalışma alanınızın izinlerini güncellemek için:

  1. ChatGPT’de profil simgenizi seçin, ardından çalışma alanı izinlerini açmak için Çalışma Alanı Ayarları > İzinler’i seçin.

  2. Codex Cloud bölümüne gidin.

  3. Codex Cloud erişiminin etkin olduğundan emin olun.

  4. Üyelerin Codex Security kullanmasına izin ver. anahtarını değiştirerek erişimi etkinleştirin veya devre dışı bırakın.

  5. Rol veya grubun tarama yapılandırmalarını yönetmesi gerekiyorsa Üyelerin Codex Security’yi yönetmesine izin ver. seçeneğini de etkinleştirin.

ChatGPT çalışma alanınızdaki rol tabanlı erişim denetimleri hakkında daha fazla bilgi edinin.

En iyi uygulamalar

  • Küçük bir depo kümesi ve özel bir inceleyici grubuyla başlayın. Özellikle işe alıştırma ve güvenlik açığı paylaşımı hâlâ nispeten manuelken, başlangıçta odaklı bir kullanıma sunma öneririz.

  • Öğrendikçe tehdit modelini iyileştirin. Modelde yapılacak küçük güncellemeler bağlamı iyileştirebilir ve bulguları zaman içinde daha kesin hâle getirebilir.

  • Bugün GitHub Cloud kullanmıyorsanız değerlendirme için daha düşük riskli veya üretim dışı depolarla başlamayı düşünün. Bu, ekiplerin daha geniş benimsemeden önce iş akışına güven kazanmasına yardımcı olabilir.

  • Oluşturulan yama PR’lerini normal inceleme sürecinizle gözden geçirin. Gidermenin regresyonlara yol açmaması için Codex Security PR’lerinde Codex Code Review kullanılmasını da öneririz.

SSS

Codex Security kodumu otomatik olarak değiştirir mi?

Hayır. Codex Security, insan incelemesi için bir yama önerir. Bu öneri bir çekme isteğine dönüştürülebilir, ancak kodunuzu otomatik olarak değiştirmez.

Codex Security fuzzing’e veya imza tabanlı taramaya dayanır mı?

Hayır. Codex Security, fuzzing veya imza tabanlı tarama yerine dil modeli akıl yürütmesi, test zamanı hesaplama, araç kullanımı ve geniş bağlamdan yararlanır.

Tehdit modelini inceleyebilir veya düzenleyebilir miyim?

Evet. Tehdit modeli görüntülenebilir ve düzenlenebilir; böylece ekipler Codex Security’nin uygulamayı nasıl anladığını inceleyebilir ve varsayımları kendi ortamlarına uyacak şekilde güncelleyebilir.

Doğrulama ne anlama gelir?

Doğrulama, Codex Security’nin olası bir güvenlik açığını yüzeye çıkarmadan önce yalıtılmış bir ortamda yeniden üretmeye çalıştığı adımdır. Bunun amacı yanlış pozitifleri azaltmak ve bulguların yüksek değerli kalmasını sağlamaktır.

Bir bulgu doğrulandıktan sonra ne olur?

Doğrulamadan sonra Codex Security, kök nedeni ele alan ve inceleme için bir çekme isteğine dönüştürülebilen bir yama önerir.

Bu makale yararlı oldu mu?