ঐতিহ্যবাহী কোড নিরাপত্তা স্ক্যানিংয়ের সমস্যা

স্ট্যাটিক অ্যাপ্লিকেশন নিরাপত্তা পরীক্ষা, যা সর্বজনীনভাবে SAST হিসাবে পরিচিত, দুই দশকেরও বেশি সময় ধরে স্বয়ংক্রিয় কোড নিরাপত্তা বিশ্লেষণের জন্য প্রভাবশালী দৃষ্টিভঙ্গি হয়েছে। এই পদ্ধতিটি ধারণাগতভাবে সহজ: এটি কার্যকর না করেই সোর্স কোড বিশ্লেষণ করুন, পরিচিত দুর্বলতার স্বাক্ষরের সাথে মেলে এমন প্যাটার্ন খুঁজছেন। ব্যবহারকারীর ইনপুট থেকে সংযুক্ত SQL প্রশ্ন, সীমানা পরীক্ষা ছাড়াই মেমরি বরাদ্দ, দুর্বল পরামিতি সহ ক্রিপ্টোগ্রাফিক ফাংশনগুলি—SAST সরঞ্জামগুলি যে কোনও আকারের কোডবেসগুলিতে দ্রুততার সাথে এই প্যাটার্নগুলি চিহ্নিত করতে পারে।

সমস্যাটি মিথ্যা ইতিবাচকের হার। পরিপক্ক এন্টারপ্রাইজ কোডবেসগুলি নিয়মিতভাবে SAST রিপোর্ট পায় যাতে হাজার হাজার ফ্ল্যাগ করা আইটেম রয়েছে, যার মধ্যে অধিকাংশই অ-শোষণযোগ্য কোড প্যাটার্ন, প্রশমিত দুর্বলতা, বা ফ্ল্যাগ করা API গুলির বৈধ ব্যবহার প্রতিনিধিত্ব করে। নিরাপত্তা প্রকৌশলীরা এই রিপোর্টগুলি বাছাই করতে বিশাল পরিমাণ সময় ব্যয় করেন। সিগন্যাল-টু-শব্দ অনুপাত যথেষ্ট খারাপ যে অনেক সংস্থা সময়সূচীতে SAST সরঞ্জামগুলি চালায় কিন্তু তাদের আউটপুটের বড় অংশ উপেক্ষা করার জন্য একটি প্রাতিষ্ঠানিক সহনশীলতা বিকশিত করেছে।

এটি সেই সমস্যা যা OpenAI বলে এটি Codex Security এর সাথে সমাধান করার জন্য সেট করেছে—এবং কারণ যা এটি পণ্যটির অংশ হিসাবে SAST রিপোর্ট অন্তর্ভুক্ত করতে বেছে নি।

বিকল্প হিসাবে সীমাবদ্ধতা যুক্তি

Codex Security একটি ভিন্ন পদ্ধতি ব্যবহার করে যা OpenAI AI-চালিত সীমাবদ্ধতা যুক্তি এবং যাচাইকরণ হিসাবে বর্ণনা করে। দুর্বলতার স্বাক্ষরের বিরুদ্ধে প্যাটার্ন-ম্যাচিং এর পরিবর্তে, সিস্টেম এটি কারণ করার চেষ্টা করে যে একটি দুর্বলতা প্রকৃতপক্ষে শোষণযোগ্য কিনা তা নির্ভর করে যে নির্দিষ্ট প্রসঙ্গে এটি প্রদর্শিত হয়।

পার্থক্য অনুশীলনে বিশাল বিষয়। একটি SAST সরঞ্জাম একটি নির্দিষ্ট স্ট্রিং ফর্ম্যাটিং ফাংশনের প্রতিটি উদাহরণকে একটি সম্ভাব্য ফর্ম্যাট স্ট্রিং দুর্বলতা হিসাবে চিহ্নিত করতে পারে, তা নির্বিশেষে যে সেই ফাংশনের ইনপুটগুলি প্রকৃতপক্ষে একটি আক্রমণকারী দ্বারা প্রভাবিত হতে পারে কিনা। Codex Security ডেটা প্রবাহ ট্রেস করার চেষ্টা করে, বিশ্বাস সীমানা বুঝতে পারে এবং মূল্যায়ন করে যে বাস্তবসম্মত অ্যাক্সেস সহ একটি আক্রমণকারী প্রকৃতপক্ষে সমস্যাজনক কোড পাথ ট্রিগার করতে পারে কিনা।

এই পদ্ধতিটি ফর্মাল যাচাইকরণ এবং সীমাবদ্ধতা সন্তুষ্টির পদ্ধতি থেকে ধার নেয় যা একাডেমিক নিরাপত্তা গবেষণায় ব্যবহৃত হয়, তবে AI যুক্তি প্রয়োগ করে বাস্তব-বিশ্বের কোডবেসগুলির অস্পষ্টতা এবং জটিলতা পরিচালনা করে যে ফর্মাল পদ্ধতিগুলি ঐতিহাসিকভাবে স্কেল করতে সংগ্রাম করেছে।

front and side images of a researcher equipped with AI training devices, part of the XRZero-G0 system.
More in AI & Robotics

XRZero-G0 2,000 ঘণ্টার রোবোটিক্স ডেটাসেট ওপেন-সোর্স করল

X Square Robot XRZero-G0 এবং 2,000 ঘণ্টার একটি মাল্টিমোডাল ডেটাসেট প্রকাশ করেছে, যার লক্ষ্য embodied AI সিস্টেমের জন্য বাস্তব-রোবট প্রশিক্ষণ ডেটার প্রয়োজনীয়তা কমানো।

Read article

কম অনুসন্ধান, উচ্চতর আত্মবিশ্বাস

এই পদ্ধতিতে অন্তর্নিহিত ট্রেড-অফ হল Codex Security SAST ধরতে পারে এমন দুর্বলতা মিস করতে পারে। OpenAI এই সীমাবদ্ধতা সম্পর্কে স্বচ্ছ। সিস্টেমটি নির্ভুলতার উপর স্মরণ অগ্রাধিকার দেওয়ার জন্য ডিজাইন করা হয়েছে: যে দুর্বলতাগুলি এটি চিহ্নিত করে তা বাস্তব এবং শোষণযোগ্য হওয়ার জন্য অভিপ্রায় থাকলেও, বাস্তব দুর্বলতা রয়েছে যা সিস্টেম সনাক্ত করে না।

নিম্নমানের SAST আউটপুট দ্বারা ডুবিয়ে দেওয়া নিরাপত্তা দলের জন্য, এই ট্রেড-অফ আকর্ষণীয় হতে পারে। উচ্চ-আস্থা, কার্যকর অনুসন্ধানের একটি ছোট সেট সামঞ্জস্যপূর্ণভাবে প্রতিকার করা যায়, নিরাপত্তা অবস্থানে পরিমাপযোগ্য উন্নতি তৈরি করে। এমন একটি বৃহৎ সেট যেখানে অধিকাংশ মিথ্যা ইতিবাচক বিশ্লেষণ পক্ষাঘাত তৈরি করে এবং অনুশীলনে, প্রায়ই কিছুই ঠিক না হয়।

OpenAI যুক্তি দেয় যে ডেভেলপার অভিজ্ঞতা অর্থবহভাবেও ভাল যখন অনুসন্ধান বিশ্বস্ত হয়। একজন ডেভেলপার যে শিখেছেন যে তাদের কোডবেসে 80 শতাংশ নিরাপত্তা সরঞ্জাম অনুসন্ধান শব্দ নিরাপত্তা সতর্কতা উপেক্ষা করতে অভ্যস্ত হয়ে ওঠেন। একটি সরঞ্জাম যা প্রায় প্রতিটি সময় সঠিক একটি ভিন্ন আচরণ প্রশিক্ষণ করে: প্রতিটি অনুসন্ধান গুরুত্ব সহকারে নিন এবং এটি ঠিক করুন।

যাচাইকরণ পাইপলাইন

Codex Security প্রাথমিক সীমাবদ্ধতা যুক্তির সাথে একটি যাচাইকরণ পদক্ষেপ একত্রিত করে যা AI একটি বালির বক্সে পরিবেশে দুর্বলতা ট্রিগার করার চেষ্টা করে প্রমাণ-অফ-ধারণা পরীক্ষার ক্ষেত্রে তৈরি করতে ব্যবহার করে। যদি দুর্বলতা কীভাবে শোষণ করা যায় তার বিষয়ে সিস্টেমের মডেল একটি কাজ করার শোষণে পরিণত হতে পারে—এমনকি একটি সৌম্য যা কোড পাথ কার্যকর করে তা প্রদর্শন করে—অনুসন্ধানে আত্মবিশ্বাস উল্লেখযোগ্যভাবে বৃদ্ধি পায়।

এই যাচাইকরণ পদক্ষেপটি স্ট্যাটিক প্যাটার্ন ম্যাচিংয়ের তুলনায় গণনাগতভাবে ব্যয়বহুল, যা একটি কারণ এই পদ্ধতি নিরাপত্তা সরঞ্জামগুলির মধ্যে সর্বজনীন নয়। তবে এটি একটি গুরুত্বপূর্ণ গুণমান গেট প্রতিনিধিত্ব করে। দুর্বলতা যা সীমাবদ্ধতা যুক্তি পর্যায় এবং শোষণ যাচাইকরণ পর্যায় উভয়ই বেঁচে থাকে সত্যিকারের নিরাপত্তা ঝুঁকি প্রতিনিধিত্ব করার সম্ভাবনা উল্লেখযোগ্যভাবে বেশি হয় SAST অনুসন্ধান যা কোনও সম্পাদন-ভিত্তিক যাচাইকরণের সংস্পর্শে আসেনি।

Our new community investments in Virginia support local jobs and expand energy affordability.
More in AI & Robotics

গুগল ভার্জিনিয়ায় বিনিয়োগ করছে: ১.৫ কোটি ডলারের জ্বালানি তহবিল ও ২,৭৪১টি শিক্ষানবিশ সুযোগ

স্থানীয় চাকরি ও জ্বালানি সাশ্রয় বাড়াতে গুগল ভার্জিনিয়ায় ১.৫ কোটি ডলারের Energy Impact Fund এবং ২,৭৪১টি বৈদ্যুতিক শিক্ষানবিশ সুযোগে সমর্থন ঘোষণা করেছে.

Read article

নিরাপত্তা সরঞ্জাম ল্যান্ডস্কেপে অবস্থান

Codex Security সমস্ত নিরাপত্তা সরঞ্জামের প্রতিস্থাপন হিসাবে অবস্থান করা হয় না। OpenAI এটিকে fuzzing, অনুপ্রবেশ পরীক্ষা এবং ম্যানুয়াল কোড পর্যালোচনার পরিপূরক হিসাবে বর্ণনা করে। পিচ হল স্বয়ংক্রিয় কোড বিশ্লেষণের নির্দিষ্ট কাজের জন্য, যুক্তি-ভিত্তিক পদ্ধতিগুলি স্বাক্ষর-ভিত্তিক পদ্ধতিগুলির চেয়ে ভাল ফলাফল সরবরাহ করতে পারে যেখানে AI যুক্তি যথেষ্ট পরিপক্ক এবং নির্ভরযোগ্য।

পণ্যটি কোড শব্দার্থিতা বোঝে এমন সিস্টেমগুলির দিকে AI-সহায়ক নিরাপত্তা সরঞ্জামে একটি বৃহত্তর প্রবণতা অব্যাহত রাখে। বড় কোড কর্পাসে প্রশিক্ষিত AI মডেলগুলি প্রোগ্রাম আচরণ সম্পর্কে যুক্তি করতে আরও সক্ষম হয়ে ওঠে, স্বয়ংক্রিয় সরঞ্জামগুলি যা নির্ভরযোগ্যভাবে খুঁজে পেতে পারে এবং দক্ষ মানব নিরাপত্তা গবেষকরা যা খুঁজে পেতে পারেন তার মধ্যে ফাঁক সংকুচিত হচ্ছে—যদিও এটি এখনও বন্ধ হয়নি।

এই নিবন্ধটি OpenAI দ্বারা রিপোর্টিং এর উপর ভিত্তি করে। আসল নিবন্ধ পড়ুন

Originally published on openai.com