பாரம்பரிய குறியீட்டு பாதுகாப்பு ஸ்கேனிங்கின் சிக்கல்
நிலையான பயன்பாட்டு பாதுகாப்பு சோதனை, பொதுவாக SAST என அழைக்கப்படுகிறது, இருபத்தி ஐந்து ஆண்டுகளாக தன்னியக்க குறியீட்டு பாதுகாப்பு பகுப்பாய்வுக்கான மேலாதிக்க மாதிரியாக உள்ளது. இந்த அணுகுமுறை கருத்தளவில் எளிமையானது: மூல குறியீட்டை இயக்காமல் பகுப்பாய்வு செய்து, அறியப்பட்ட பாதுகாப்பு குறைபாட்டு கையொப்பங்களுடன் பொருந்தக்கூடிய வடிவங்களைத் தேடுங்கள். பயனர் உள்ளீட்டிலிருந்து ஒன்றுசேர்க்கப்பட்ட SQL வினவல்கள், சीமைகள் சரிபார்ப்பு இல்லாமல் நினைவக ஒதுக்கீடுகள், பலவீனமான அளவுருக்களைக் கொண்டு பயன்படுத்தப்படும் கிரிப்டோகிராபிக் செயல்பாடுகள்—SAST கருவிகளால் இந்த வடிவங்களை எந்த அளவுகளிலும் குறியீட்ட அடிப்படைகள் முழுவதும் வேகத்தில் குறிக்க முடியும்.
சிக்கல் தவறான நிலைக்கான அதிக விகிதமாகும். முதிர்ந்த நிறுவன குறியீட்ட அடிப்படைகள் வழக்கமாக SAST அறிக்கைகளைப் பெறுகின்றன, அவற்றில் ஆயிரக்கணக்கான குறிக்கப்பட்ட உருப்படிகள் உள்ளன, அவற்றில் பெரும்பாலானவை சுரண்டத்திற்கு அயோக்கியமான குறியீட்டு வடிவங்கள், குறைக்கப்பட்ட குறைபாடுகள் அல்லது குறிக்கப்பட்ட API களின் நியாயமான பயன்பாட்டைக் குறிக்கின்றன. பாதுகாப்பு பொறியாளர்கள் இந்த அறிக்கைகளை ஆய்வுசெய்ய பெரும் அளவு நேரத்தை செலவிடுகிறார்கள். சமிக்ஞை-க்கு-சத்தம் விகிதம் பலவீனமாக உள்ளது, பல நிறுவனங்கள் SAST கருவிகளை அட்டவணையின் படி இயக்குகின்றன ஆனால் அவற்றின் வெளியீட்டின் பெரிய பகுதிகளை புறக்கணிக்க ஒரு நிறுவன சகிப்புத்தன்மை உள்ளது.
இது OpenAI Codex Security மூலம் தீர்க்க முற்பட்ட சிக்கலாகும்—மற்றும் இது ஏன் SAST அறிக்கையை பொருளின் பகுதியாக சேர்க்க விரும்பாது என்பதற்கான காரணம்.
AI-இயக்கிய கட்டுப்பாடு பகுத்தறிவ
Codex Security வேறுபட்ட முறைமையைப் பயன்படுத்துகிறது, இதை OpenAI AI-இயக்கிய கட்டுப்பாடு பகுத்தறிவ் மற்றும் சரிபார்ப்பாக விவரிக்கிறது. பாதுகாப்பு கையொப்பங்களுடன் வடிவங்களைப் பொருத்துவதற்குப் பதிலாக, கணினி ஒரு குறைபாடு உண்மையில் சுரண்டத்தக்கதாக இருக்கிறதா என்பதைப் பகுத்தறிவ் செய்ய முயல்கிறது.
வேறுபாடு நடைமுறையில் மிக முக்கியமாக விஷயிக்கிறது. ஒரு SAST கருவி ஒரு குறிப்பிட்ட சரம் வடிவமைப்பு செயல்பாட்டின் ஒவ்வொரு நிகழ்வையும் ஒரு வடிவ சரம் பாதுகாப்பு குறைபாடாக குறிக்கலாம், அந்த செயல்பாட்டுக்கான உள்ளீடுகள் உண்மையில் ஒரு தாக்குனரால் பாதிக்கப்படுகிறதா என்பதைப் பொருட்படுத்தாமல். Codex Security தரவு ஓட்டங்களைத் ট்রேஸ் செய்ய, நம்பிக்கை எல்லைகளைப் புரிந்து கொள்ள மற்றும் யாதார்த்தமான அ்ம்ப்க்ஷியில் ஒரு தாக்குனர் உண்மையில் சிக்கல் குறியீட்டு பாதையைத் தூண்ட முடியுமா என்பதை மதிப்பீடு செய்ய முயல்கிறது.
இந்த அணுகுமுறை முறையான சரிபார்ப்பு மற்றும் கட்டுப்பாடு திருப்திச் சமஸ்யைகளிலிருந்து கடன் வாங்குகிறது, இவை கல்வி பாதுகாப்பு ஆராய்ச்சியில் பயன்படுத்தப்படுகின்றன, ஆனால் AI பகுத்தறிவை உண்மையான உலக குறியீட்ட அடிப்படைகளின் மாக்கர் மற்றும் சிக்கலை எதிர்கொள்ள பயன்படுத்துகிறது, முறையான முறைகள் வரலாறுவசதி செய்ய சிரமப்பட்டுள்ளன.
குறைவான கண்டுபிடிப்புகள், அதிக நம்பிக்கை
இந்த அணுகுமுறையில் உள்ளார்ந்த வர்த்தக-பன்ற Codex Security SAST பிடித்தவை சில குறைபாடுகளை கணக்கு செய்ய முடியும். OpenAI இந்த வரம்பு பற்றி வெளிப்படையாக உள்ளது। கணினி நினைவு மீது நினைவுக்கு অগ்রஸ்தத்துக் வெளியிட வடிவமைக்கப்பட்டுள்ளது: பிடிக்கப்பட்ட குறைபாடுகள் உண்மையும் சுரண்டக்கூடியவையாகவும் இருக்க வேண்டும், கணினி அடையாளம் கொண்டுவர விரும்பாத உண்மையான குறைபாடுகள் குறியீட்ட அடிப்படையில் இருக்கலாம் என்ற போதிலும்.
மேலாதிக்க SAST வெளியீட்டில் நூழ்ந்த பாதுகாப்பு குழுக்களுக்கு, இந்த வர்த்தக-பன்ற கரணீயமான ஆக இருக்கலாம். உচ்ச-நம்பிக்கை, செயல்திறம் கொண்ட கண்டுபிடிப்புகளின் சிறிய தொகுப்பு ஒழுங்கு செய்ய குறைக்க முடியும், பாதுகாப்பு முறை மேலாதிக்க ஆறபெறாகிறது. பொருத்தமான பணிப்பு பெரிய குவிப்பு கொண்ட குறைபாடுகள் இருக்கும் நிலையில், சாதாரணம் பெரிய அளவு பெறாகிறது—பொதுவாக, சிக்கை செயல்கள் குறைவாக இருக்கும்.
OpenAI பாதுகாப்பு கருவி மூலம் அனுভவம் கூட முக்கியம் என்பது சொல்கிறது. ஒரு வளர்ச்சிசெய்வோன் அவர்களின் குறியீட்ட அடிப்படையில் பாதுகாப்பு கருவி கண்டுபிடிப்புகளிலிருந்து எண்பத் சதவீதம் இரை ஆக கண்டறிந்துள்ளார் பாதுகாப்பு எச்சரிக்கைகளை புறக்கணிக்கக் கற்றுக்கொண்டுவிடுகிறார். ஒரு கருவி தேசிக பல்லாய சரியான தெளிவான ஒவ்வொரு கண்டுபிடிப்பையும் சீரியசுக் கொள்ள மற்றும் அதை சரிசெய்ய பயிற்சிளிக்கிறது.
சரிபார்ப்பு பைப்லைன்
Codex Security கட்டுப்பாடு பகுத்தறிவின் ஆரம்ப பாதை ஒரு சரிபார்ப்பு பாதையுடன் இணைக்கிறது, இது AI இயக்கப்படும் ஆதாரம்-சம்மதி சோதனை நிலைகளை உத்பாத்தி செய்கிறது, ஒரு மணல்பெட்டிய சூழலில் பாதுகாப்பு ஏற்பாட்டைத் தூண்ட முயற்சிப்பது. கணினी கட்டுப்பாடு பகுத்தறிவு பகுதி மற்றும் பரிசோதனை சரிபார்ப்பு பகுதி வாழ்ந்த ஒரு பாதுகாப்பு குறைபாடு—உட்கடத்திய அபாயத்திலிருந்து கொடுக்கப்பட்ட தொடர்ச்சி வெளிப்படையான நம்பிக்கை அ்ம்ப்க்ஷிபரியுடன் அ्ம்ப்க்ஷி செய்கிறது।
இந்த சரிபார்ப்பு பாதை நிலையான வடிவ பொருத்தத்துடன் ஒப்பிடும்போது கணக்கீட்டாக விலையுயர்ந்தது, இது இந்த அணுகுமுறை பாதுகாப்பு கருவிகளுக்கிடையே உலகளாவி வாய் என்பதற்கான ஒரு குறிப்பிடப்பட்ட நிலைமை. ஆனால் இது ஒரு முக்கியமான தரம் கேட் சுவ கொண்டு வருகிறது. முறைகளின் தொடர்ச்சி மேல் வாழ்ந்த பாதுகாப்பு நிலைமைகள் SAST கண்டுபிடிப்புகளிலிருந்து கணிசமாக—செயல்பாட்டளவ் சரிபார்ப்பு-உகுட்டுமாற் தகுசியற்றிய—பெரிய உண்மையான பாதுகாப்பு ஆபத்தை சுசு பிரதிபளிக்கக் கூடிய ஆக இருக்கக் கூடிய ஆக இருக்கிறது.
பாதுகாப்பு கருவி Landscape இல் நிலைமைப்படுத்தல்
Codex Security அனைத்து பாதுகாப்பு கருவிக்கு நிரல் மாற்றக் வெளியாக இல்லை. OpenAI பொய்ங் மணல்பெட்டிய தெளிவை, ஊடுருவல் சோதனை, மற்றும் கேட்ட குறியீட்டு மீறை பொருத்தக்கூடிய விவரிக்கிறது. பிட்ச் தானியக்க குறியீட்டு பகுப்பாய்வுக்கான குறிப்பிட்ட வேலை, பகுத்தறிவ் அணுகுமுறைகள் கையொப்பம்-அடிப்பட்ட அணுகுமுறைகளிலிருந்து பெச்சு விளைவுகளை தீர்வுக்கு வ்ய—குறைபாடு நிலைகளுக்கு AI பகுத்தறிவ் நிறைவாகவும் இருக்கக் கூடிய வ்ய—ஆக இருக்கிறது.
பொருளும் ஒற்றை உலகளாவி பெரு நிற்க உறவுவே்ஜ கொள்கை பாதுகாப்பு கருவி மாறி. AI குறியீட்ட কொரபேரா மாறி உயர் நிலை பகுத்தறிவ் ஆக இருக்கிறது, தானியக்க கருவிகள் முறையோ ஆக்க குறிப்பு மூ மூ அறையுக்கு பாதுகாப்பு ஆராய்ச்சி கண்டுபிடிப்பவர்கள் எத்தை கூடிய பாத்தி குறையுமாற்றப்படும்—வெளிப்பட்ட ஒ்ப்பு கொறை குறையுமாற்றப்படவே பணிப்பு கடக்கவில்லை.
இந்த கட்டுரை OpenAI மூலம் அறிக்கையெடுத்தலுக்கு அடிப்பட்டுள்ளது. அசல் கட்டுரையைக் படிக்கவும்.
Originally published on openai.com