पारंपारिक कोड सुरक्षा स्कॅनिंग समस्या

स्थिर अनुप्रयोग सुरक्षा परीक्षण, सार्वत्रिकरित्या SAST असे ओळखले जाते, दोन दशकांपेक्षा जास्त वेळ स्वचालित कोड सुरक्षा विश्लेषणासाठी प्रधान दृष्टीकोन राहिला आहे. दृष्टीकोन संकल्पनात: साधारण: स्रोत कोड चालू न करून विश्लेषण करा, ज्ञात कमजोरी हस्ताक्षरांसह जुळणारी नमुने शोधा. वापरकर्ता इनपुटपासून एकत्रित SQL प्रश्नांचे, सीमा तपासणी न करता स्मृती वरचा करणे, कमजोर पॅरामीटर्सद्वारे वापरलेले क्रिप्टोग्राफिक फंक्शन्स—SAST साधन कोणताही आकार कोडबेसच्या दरम्यान हे नमुने द्रुत फ्लॅग करू शकतात.

समस्या खोट सकारात्मक दर आहे. परिपक्व एंटरप्राइজ कोडबेस नियमितपणे हजारांच्या फ्लॅग केलेल्या आइटमांसह SAST अहवाल मिळतात, ज्यामध्ये बहुसंख्य गैर-शोषण योग्य कोड नमुने, कमी कमजोरी, किंवा फ्लॅग केलेल्या API चा वैध वापर दर्शवतात. सुरक्षा अभियंते या अहवालांना वर्गीकरण करण्यासाठी विशाल वेळ खर्च करतात. सिग्नल-टू-शोर गुणोत्तर इतका कमी आहे की अनेक संस्था SAST साधन शेड्यूलवर चालवतात परंतु त्यांच्या आउटपुटचे मोठे भाग दुर्लक्ष करण्यासाठी संस्थागत सहनशीलता विकसित केली आहे.

ही समस्या आहे जी OpenAI ने Codex Security द्वारे सोडविण्याचा प्रयत्न केला—आणि कारण आहे की त्याने उत्पादनामध्ये SAST अहवाल समाविष्ट करण्यास निवडले.

मर्यादा तर्क एक पर्याय म्हणून

Codex Security एक वेगळा दृष्टीकोन वापरतो ज्याला OpenAI AI-संचालित मर्यादा तर्क आणि सत्यापन म्हणून वर्णित करते. हस्ताक्षरे कमजोरीविरुद्ध नमुने जुळणे याऐवजी, प्रणाली कमजोरी वास्तविकरित्या त्या विशिष्ट संदर्भात शोषण योग्य आहे की नाही याचा तर्क करण्याचा प्रयत्न करते.

हा भेद व्यावहारिकरित्या अत्यंत महत्वाचा आहे. SAST साधन विशिष्ट स्ट्रिंग फॉर्मेटिंग फंक्शनचे प्रत्येक उदाहरण संभाव्य स्ट्रिंग फॉर्मेट कमजोरी म्हणून फ्लॅग करू शकते, हे विचारात न घेता की त्या फंक्शनचे इनपुट्स हल्लाबाजाने प्रभावित करू शकले की नाही. Codex Security डेटा प्रवाह ट्रेस करण्याचा, विश्वास सीमा समजून घेण्याचा आणि मूल्यांकन करण्याचा प्रयत्न करते की वास्तविक प्रवेश असलेली हल्लाबाजी वास्तविकरित्या समस्याग्रस्त कोड मार्ग ट्रिगर करू शकते.

हा दृष्टीकोन औपचारिक सत्यापन आणि मर्यादा समाधान पद्धतींपासून उधार घेतो ज्या शैक्षणिक सुरक्षा संशोधनामध्ये वापरल्या जातात, परंतु वास्तविक जगतातील कोडबेसच्या अस्पष्टता आणि जटिलता हाताळण्यासाठी AI तर्क लागू करतो ज्याबरोबर औपचारिक पद्धती ऐतिहासिकरित्या स्केल करण्यासाठी संघर्ष करीत आहेत.

front and side images of a researcher equipped with AI training devices, part of the XRZero-G0 system.
More in AI & Robotics

XRZero-G0 ने 2,000 तासांचा रोबोटिक्स डेटासेट ओपन-सोर्स केला

X Square Robot ने XRZero-G0 आणि 2,000 तासांचा मल्टिमोडल डेटासेट जारी केला आहे, ज्याचा उद्देश embodied AI प्रणालींसाठी लागणारा वास्तविक-रोबोट प्रशिक्षण डेटा कमी करणे हा आहे.

Read article

कमी निष्कर्ष, उच्च आत्मविश्वास

या दृष्टीकोनात अंतर्निहित व्यापार-बंद असा आहे की Codex Security SAST पकडत असल्या कमजोरी मिस करू शकतो. OpenAI या मर्यादेबद्दल पारदर्शी आहे. प्रणाली स्मरणशीलतेवर अचूकता प्राधान्य देण्यासाठी डिजाइन केली आहे: प्रणाली ज्या कमजोरींना फ्लॅग करते ते वास्तविक आणि शोषण योग्य असण्याचा हेतू आहे, जरी कोडबेसमध्ये वास्तविक कमजोरी असूनही ज्या प्रणाली ओळखत नाही.

सुरक्षा टीमांसाठी जे निम्न-गुणवत्तेच्या SAST आउटपुटमध्ये डूब गेली आहे, हा व्यापार-बंद आकर्षक असू शकतो. उच्च-आत्मविश्वास, कार्यक्षम निष्कर्षांचा एक लहान संच सातत्यपूर्णरित्या सोडविला जाऊ शकतो, सुरक्षा स्थितीमध्ये मोजण्यायोग्य सुधार तयार करतो. परिणाम ज्या बहुसंख्य खोट सकारात्मक हैं, विश्लेषण पक्षाघात निर्माण करतो आणि, व्यावहारिकरित्या, अनेकदा काहीही ठीक होत नाही.

OpenAI तर्क करते की डेव्हलपर अनुभव अर्थपूर्णरित्या सुधारला जातो जेव्हा निष्कर्ष विश्वसनीय असतात. डेव्हलपर जो शिकतो की त्यांच्या कोडबेसमध्ये 80 टक्के सुरक्षा साधन परिणाम शोर आहे, वेगळे आचरण प्रशिक्षित करण्यासाठी अभ्यस्त होतो: प्रत्येक निष्कर्ष गंभीरतेने घ्या आणि तो ठीक करा.

सत्यापन पाइपलाइन

Codex Security प्रारंभिक मर्यादा तर्क एक सत्यापन टप्प्याबरोबर एकत्रित करते जो AI वापरून प्रमाण-अवधारणा परीक्षा प्रकरणांना तयार करतो जे सॅंडबॉक्स्ड वातावरणात कमजोरी ट्रिगर करण्याचा प्रयत्न करतात. जर प्रणालीचे मॉडेल कमजोरी कसे दिसू शकते हे कार्यकारी शोषणात रूपांतरित केले जाऊ शकते—अगदी एक निरागस जो केवळ कोड मार्ग कार्यान्वित होतो हे प्रदर्शित करतो—निष्कर्षमधील आत्मविश्वास पुरेसे वाढतो.

हा सत्यापन टप्पा स्थिर नमुना जुळणीच्या तुलनेत गणनात्मकरित्या खर्चिक आहे, जो या दृष्टीकोन सुरक्षा साधनांमध्ये सर्वव्यापी न होण्याचे कारण आहे. परंतु हे एक महत्वाचा गुणवत्ता गेट दर्शवते. मर्यादा तर्क टप्पा आणि शोषण सत्यापन टप्पा दोन्हींपासून जिवंत राहणारी कमजोरी SAST परिणामांपेक्षा वास्तविक सुरक्षा जोखमीचे प्रतिनिधित्व करण्याची शक्यता जास्त आहे ज्यांना कोणताही मृत-आधारित सत्यापन अधीन केलेले नाही.

Our new community investments in Virginia support local jobs and expand energy affordability.
More in AI & Robotics

गूगलचे व्हर्जिनियात गुंतवणूक: $15 दशलक्ष ऊर्जा निधी आणि 2,741 अप्रेंटिसशिप

गूगलने व्हर्जिनियामध्ये स्थानिक नोकऱ्या आणि ऊर्जा परवडणीयता वाढवण्यासाठी $15 दशलक्षचा Energy Impact Fund आणि 2,741 विद्युत अप्रेंटिसशिपला पाठिंबा जाहीर केला.

Read article

सुरक्षा साधन परिदृश्यमधील स्थिती

Codex Security सर्व सुरक्षा साधनांचा प्रतिस्थापन म्हणून स्थित नाही. OpenAI हे फजिंग, प्रवेश परीक्षण आणि व्यक्तिमान कोड पुनरावलोकनास पूरक म्हणून वर्णित करते. पिच असा आहे की स्वचालित कोड विश्लेषणाच्या विशिष्ट कामासाठी, तर्क-आधारित दृष्टीकोन हस्ताक्षर-आधारित दृष्टीकोनांपेक्षा कोडबेस आणि कमजोरी वर्गांसाठी चांगले परिणाम प्रदान करू शकतात जेथे AI तर्क पुरेसे परिपक्व आहे.

उत्पाद AI-सहायता सुरक्षा साधनांमध्ये व्यापक प्रवृत्ती चालू करते जे केवळ वाक्य रचना नाही, कोड शब्दार्थ समजतात. मोठ्या कोड कॉर्पसवर प्रशिक्षित AI मॉडेल्स प्रोग्राम वर्तनाबद्दल तर्क करण्याची क्षमता सुधारत असल्याने, स्वचालित साधनांनी विश्वसनीयरित्या काय शोधू शकतात आणि कुशल मानवी सुरक्षा संशोधकांनी काय शोधू शकतात यामध्ये अंतर कमी होत आहे—जरी ते अद्याप बंद झालेले नाही.

हा लेख OpenAI द्वारे अहवालन आधारित आहे. मूळ लेख वाचा

Originally published on openai.com