OpenAI
Bu sayfanın çevirisi otomatik olarak yapılmıştır. Orijinal İngilizce makaleyi görüntüleyin.

Codex Güvenliği

Güncellenme zamanı: 15 days ago

Codex Security, ekiplerin koddaki güvenlik açıklarını belirlemesine, doğrulamasına ve gidermesine yardımcı olan bir araştırma önizlemesidir. Geleneksel bir tarayıcıdan çok bir güvenlik araştırmacısı gibi çalışacak şekilde tasarlanmıştır: kodu okur, testler çalıştırır, gerçekçi saldırı yollarını araştırır ve ekiplerin normal iş akışlarında inceleyebileceği yamalar önerir.

Genel bakış

Bugün Codex Security doğrudan GitHub depolarına bağlanır. Bir depoyu etkinleştirdikten sonra, kod tabanına özel bir tehdit modeli oluşturur, depo geçmişini tarar, olası güvenlik açıklarını izole bir ortamda doğrular ve insan incelemesi için önerilen düzeltmeleri sunar.

Codex Security üç aşama etrafında kuruludur: belirleme, doğrulama ve giderme. Belirleme sırasında depoyu analiz eder ve gerçekçi saldırı yollarını araştırır. Doğrulama sırasında her sorunun gerçek olduğunu doğrulamak için yeniden üretmeyi dener. Giderme sırasında ekiplerin inceleyip bir çekme isteğine dönüştürebileceği somut bir yama üretir.

Codex Security nasıl çalışır?

Codex Security bir depoya bağlandığında, commit'leri ters kronolojik sırayla tarar ve kod tabanına özel bir tehdit modeli oluşturur. Bu model, saldırgan giriş noktalarını, güven sınırlarını, hassas verileri ve yüksek etkili kod yollarını yakalar; Codex bunları analizini gerçekçi saldırı senaryolarına odaklamak için kullanır. Ekipler tehdit modelini inceleyip düzenleyebilir, böylece model gerçek dağıtım varsayımlarını yansıtır.

Codex Security kapalı döngü bir giderme iş akışı izler:

  1. Depoyu tara: Codex GitHub deponuza bağlanır, kod tabanını analiz eder ve depodan ve commit geçmişinden bir tehdit modeli oluşturur.

  2. Güvenlik açıklarını keşfet: Codex, bu tehdit modelini kullanarak gerçekçi kod yollarını araştırır ve olası güvenlik açıklarını belirler.

  3. Sandbox'ta doğrula: Codex, sorunu yeniden üretmek, yürütme ayrıntılarını yakalamak ve bulguyu sunmadan önce istismar edilebilirliği doğrulamak için izole bir ortamda otomatik bir doğrulayıcı çalıştırır.

  4. Bir yama oluştur: Codex, doğrulanmış güvenlik açıkları için kök nedeni ele alan minimal bir yama önerisi üretir.

  5. İnsan incelemesi ve çekme isteği: Yama kodunuzu otomatik olarak değiştirmez. İnsan incelemesi için sunulur ve normal iş akışınız için bir çekme isteğine dönüştürülebilir.

  6. Gidermeden sonra yeniden doğrula: Doğrulanmış bir sorun yamalanıp birleştirildikten sonra, Codex düzeltmeyi yeniden doğrulayabilir ve tespitten gidermeye kadar döngüyü kapatır.

Her bulgu için Codex Security, saldırgan kontrollü girdinin bir giriş noktasından hassas bir sonuca nasıl ilerleyebileceğini gösteren saldırı yolu analizi üretebilir. Bu yolu olasılık ve etkiye göre puanlar ve temel varsayımları görünür kılar; bu da ekiplerin izole uyarılar yerine gerçekçi risklere öncelik vermesine yardımcı olur.

Bir bulguyu sunmadan önce Codex Security onu izole bir ortamda yeniden üretmeye çalışır. Doğrulayıcı, yeniden üretim sonuçlarını, yürütme ayrıntılarını ve kavram kanıtı artefaktlarını kaydeder; böylece ekipler gerçekten çalıştığı gösterilmiş bulgulara odaklanabilir.

Doğrulanmış bulgular için Codex Security, kök nedeni ele alan minimal bir yama önerir. Kodunuzu otomatik olarak değiştirmez. Bunun yerine yama, insan incelemesi için sunulur ve mevcut iş akışınızda bir çekme isteğine dönüştürülebilir.

Başlarken

  1. chatgpt.com/codex/security adresine gidin.

  2. Codex Security'nin taramasını istediğiniz GitHub depolarını bağlayın ve etkinleştirin.

  3. İlk taramanın tamamlanmasını bekleyin. Codex Security önce proje için bir tehdit modeli oluşturur ve mevcut güvenlik açıkları için depo geçmişini tarar. Bu işlem büyük projelerde daha uzun sürebilir. Yeni kod taramaları daha hızlıdır.

  4. Bulguları, doğrulama ayrıntılarını ve önerilen yamaları inceleyin.

Role dayalı erişim denetimleri (RBAC)

Enterprise ve Edu çalışma alanlarında yöneticiler, çalışma alanı izinlerinde Codex Security erişimini yönetebilir. Codex Security, çalışma alanı için hem Codex Cloud hem de Codex Security erişiminin etkinleştirilmesini gerektirir. Erişim, SCIM ile senkronize edilen gruplar dahil olmak üzere RBAC aracılığıyla belirli roller veya gruplarla da sınırlandırılabilir.

Çalışma alanınızın izinlerini güncellemek için:

  1. ChatGPT'de profil simgenize tıklayın ve çalışma alanı izinleri sayfasına gitmek için Çalışma Alanı Ayarları -> İzinler'i seçin.

  2. Aşağı kaydırarak Codex Cloud bölümüne gidin.

  3. Codex Cloud erişiminin etkin olduğundan emin olun.

  4. Üyelerin Codex Security kullanmasına izin ver. seçeneğini açıp kapatarak erişimi etkinleştirin veya devre dışı bırakın.

ChatGPT çalışma alanınızdaki role dayalı erişim denetimleri hakkında daha fazla bilgi edinin.

En iyi uygulamalar

  • Küçük bir depo grubu ve özel bir gözden geçiren ekiple başlayın. Özellikle ilk katılım ve güvenlik açığı paylaşımı hâlâ nispeten manuelken, başlangıçta odaklı bir kullanıma alma öneririz.

  • Öğrendikçe tehdit modelini iyileştirin. Modelde yapılacak küçük güncellemeler bağlamı iyileştirebilir ve zamanla bulguları daha isabetli hâle getirebilir.

  • Bugün GitHub Cloud kullanmıyorsanız, değerlendirme için daha düşük riskli veya üretim dışı depolarla başlamayı düşünün. Bu, daha geniş kullanım öncesinde ekiplerin iş akışına güven duymasına yardımcı olabilir.

  • Oluşturulan yama PR'lerini normal inceleme sürecinizle gözden geçirin. Ayrıca giderme sürecinin gerilemelere yol açmaması için Codex Security PR'lerinde Codex Code Review kullanmanızı da öneririz.

SSS

Codex Security kodumu otomatik olarak değiştirir mi?

Hayır. Codex Security insan incelemesi için bir yama önerir. Bu öneri bir çekme isteğine dönüştürülebilir, ancak kodunuzu otomatik olarak değiştirmez.

Codex Security fuzzing'e veya imza tabanlı taramaya dayanır mı?

Hayır. Codex Security, fuzzing veya imza tabanlı tarama yerine dil modeli akıl yürütmesi, test zamanı hesaplama, araç kullanımı ve geniş bağlam kullanır.

Tehdit modelini inceleyebilir veya düzenleyebilir miyim?

Evet. Tehdit modeli görünür ve düzenlenebilir durumdadır; böylece ekipler Codex Security'nin uygulamayı nasıl anladığını inceleyebilir ve varsayımları kendi ortamlarına uyacak şekilde güncelleyebilir.

Doğrulama ne anlama gelir?

Doğrulama, Codex Security'nin olası bir güvenlik açığını sunmadan önce izole bir ortamda yeniden üretmeye çalıştığı adımdır. Bu, yanlış pozitifleri azaltmak ve bulguların sinyal gücünü yüksek tutmak içindir.

Bir bulgu doğrulandıktan sonra ne olur?

Doğrulamadan sonra Codex Security, kök nedeni ele alan ve inceleme için bir çekme isteğine dönüştürülebilen bir yama önerir.

Bu makale yararlı oldu mu?