OpenAI bu hafta, Codex Security'yi tanıttı. Codex Security, geliştiricilerin kod güvenlik açıklarını bulup düzeltmelerine yardımcı olabilecek Codex programlama asistanındaki yeni bir araç. OpenAI, geçen yıl küçük bir müşteri grubuyla test etmeye başladığı bir güvenlik araştırma ajanı olan Aardvark'ı geliştirerek Codex Security'ye dönüştürdü. OpenAI'ın belirttiğine göre; beta programı, Code Security'nin yanlış pozitiflerini yüzde 50'den fazla azaltmasına destek oldu.
Yaklaşık iki hafta önce Anthropic de Claude Code Security ile benzer bir ürünle karşımıza çıkmıştı. Bir uygulamanın kod tabanını analiz edebilen Claude Code Security, güvenlik açıklarını belirleyebilir ve düzeltmeler önerebilir. Bu anlamda Codex Security de benzer şekilde çalıştığını belirtelim. OpenAI'ın belirttiğine göre; Codex Security'nin testler sırasında dışa açık kod depolarında 10 bin 500'den fazla yüksek önem dereceli sorun dahil olmak üzere yaklaşık 800 kritik bulgu tespit etti.
Codex Security nasıl çalışıyor?
Geliştiriciler, taramak istedikleri kod deposuna erişim izni vererek OpenAI'ın yeni aracını etkinleştirebiliyor. OpenAI'ın belirttiğine göre; Codex Security, izole bir konteynerde deponun geçici bir kopyasını oluşturuyor. Ardından, araç kod dosyalarını inceliyor. Bunun birkaç gün sürebildiğini belirtelim. Codex Security'nin analizi, OpenAI'ınbir belge oluşturuyor. T ehdit modeli olarak adlandırılan bu belge, bir programın nasıl çalıştığı ve nerede güvenlik açığı olabileceği konusunda uzun bir doğal dil açıklaması olarak karşımıza çıkıyor.
Bir uygulamanın tehdit modeli, son kullanıcıların veri yüklemesini sağlayan arayüz öğeleri hakkında bilgiler içeriyor. Bu tür modüllerin siber saldırılara özellikle açık olduğunu belirtmekte fayda var. Geliştiriciler, gerektiği takdirde tehdit modelini özelleştirebiliyor. Bu bağlamda kullanıcılar, Codex Security'nin öncelik vermesi gereken özellikle hassas bir uygulama bileşeni hakkında daha fazla ayrıntı ekleyebiliyor.
Codex Security, güvenlik açığı taramalarını yönlendirmek için tehdit modelini kullanıyor. Bir sanal alanda bulduğu kusurları test eden model, bunların hackerlar tarafından istismar edilip edilemeyeceğini belirliyor. Yanlış pozitifleri filtreleyen araç, güvenlik açıklarını ciddiyetlerine göre sıralıyor. Aracın ek önlem olarak, sanal ortam testinden geçemeyen kusurlarla ilgili günlükleri kaydettiğini belirtelim. Geliştiriciler bu günlükleri, yanlış pozitif olarak etiketlenmiş olabilecek güvenlik açıklarını aramak için kullanabiliyor.
Codex Security'nin bulduğu her açık için bir düzeltme önerisi oluşturduğunu belirtelim. Söz konusu öneri, sorunu gidermek için gerekli kodu ve doğal dilde bir açıklamayı içeriyor. Önerilen kodu inceledikten sonra, geliştiriciler bir düğmeye tıklayarak onu üretim sürecine aktarabiliyor.
Codex Security, Enterprise, Business ve Edu müşterilerine araştırma ön izlemesi olarak sunuluyor. Müşteriler, ilk ay boyunca aracı ücretsiz olarak kullanabiliyor.
İlk Yorumu yazmak ister misiniz?
Yorum Yazmak için Giriş Yap