OpenAI-nin Codex-də təhlükəsizlik boşluqlarını aradan qaldırmağa yönəlmiş yeni aracı Codex Security nələr təqdim edir?

OpenAI bu həftə, Codex Security-ni təqdim etdi. Codex Security, inkişaf etdiricilərin kod təhlükəsizlik boşluqlarını tapıb düzəltmələrinə kömək edə biləcək Codex proqramlaşdırma köməkçisindəki yeni bir vasitədir. OpenAI, keçən il kiçik bir müştəri qrupu ilə test etməyə başladığı bir təhlükəsizlik araşdırma agenti olan Aardvark-ı inkişaf etdirərək Codex Security-yə çevirmişdir. OpenAI-ın bildirdiyinə görə; beta proqramı, Codex Security-nin yanlış pozitivlərini yüzdə 50-dən artıq azaltmasına dəstək olmuşdur.

Yaklaşık iki həftə əvvəl Anthropic də Claude Code Security ilə bənzər bir məhsul təqdim etmişdi. Bir tətbiqin kod bazasını analiz edə bilən Claude Code Security, təhlükəsizlik boşluqlarını müəyyən edə və düzəlişlər təklif edə bilər. Bu mənada Codex Security də bənzər şəkildə fəaliyyət göstərdiyini qeyd edək. OpenAI-ın bildirdiyinə görə; Codex Security-nin testlər zamanı açıq kod depozitlərində 10 min 500-dən çox yüksək əhəmiyyət dərəcəli problem daxil olmaqla, təxminən 800 kritik tapıntı aşkar edilmişdir.

Codex Security necə işləyir?

İnkişaf etdiricilər, taramaq istədikləri kod depozitinə giriş icazəsi verərək OpenAI-ın yeni vasitəsini aktivləşdirə bilərlər. OpenAI-ın bildirdiyinə görə; Codex Security, izolyasiya olunmuş bir konteynerdə deponun müvəqqəti bir nüsxəsini yaradır. Ardından, vasitə kod fayllarını incələyir. Bunun bir neçə gün çəkə biləcəyini qeyd edək. Codex Security-nin analizi, OpenAI-ın bir sənəd hazırlayır. Təhlükə modeli adlandırılan bu sənəd, bir proqramın necə işlədiyi və harada təhlükəsizlik boşluğu ola biləcəyi barədə uzun bir təbii dil izahı kimi qarşımıza çıxır.

Bir tətbiqin təhlükə modeli, son istifadəçilərin məlumat yükləməsini təmin edən interfeys elementləri haqqında məlumatlar ehtiva edir. Bu cür modulların kibertəhlükəsizlik hücumlarına xüsusilə açıq olduğunu qeyd etməkdə fayda var. İnkişaf etdiricilər, lazım gəldikdə təhlükə modelini fərdiləşdirə bilərlər. Bu kontekstdə istifadəçilər, Codex Security-nin prioritet verməsi lazım olan xüsusilə həssas bir tətbiq komponenti haqqında daha çox detal əlavə edə bilərlər.

Codex Security, təhlükəsizlik boşluğu taramalarını yönləndirmək üçün təhlükə modelini istifadə edir. Bir virtual mühitdə aşkar etdiyi qüsurları test edən model, bunların hackerlər tərəfindən istismar edilə biləcəyini müəyyən edir. Yanlış pozitivləri filtr edən vasitə, təhlükəsizlik boşluqlarını ciddiyyətlərinə görə sıralayır. Vasitənin əlavə tədbir olaraq, virtual mühit testindən keçməyən qüsurlarla bağlı qeydləri saxladığını qeyd edək. İnkişaf etdiricilər bu qeydləri, yanlış pozitiv olaraq etiketlənmiş ola biləcək təhlükəsizlik boşluqlarını axtarmaq üçün istifadə edə bilərlər.

Codex Security-nin aşkar etdiyi hər boşluq üçün bir düzəliş təklifi hazırladığını qeyd edək. Söz konusu təklif, problemi aradan qaldırmaq üçün lazım olan kodu və təbii dildə bir izahı ehtiva edir. Təklif olunan kodu inceledikdən sonra, inkişaf etdiricilər bir düyməyə basaraq onu istehsal prosesinə keçirə bilərlər.

Codex Security, Enterprise, Business və Edu müştərilərinə araşdırma önizləməsi olaraq təqdim edilir. Müştərilər, ilk ay ərzində vasitəni pulsuz istifadə edə bilərlər.