Codex Security አሁን እንደ የምርምር ቅድመ እይታ ይገኛል

ዛሬ የመተግበሪያ ደህንነት ወኪላችንን Codex Security እያስተዋወቅን ነው። ሌሎች ኤጀንቲክ መሳሪያዎች የሚያመልጧቸውን ውስብስብ ተጋላጭነቶች ለመለየት በፕሮጀክትዎ ላይ ጥልቅ አውድ ይገነባል፣ ከፍተኛ በራስ መተማመን ያላቸውን ግኝቶች በስርዓትዎ ደህንነት ላይ ትርጉም ባለው መልኩ የሚያሻሽሉ እና ከትንንሽ ሳንካዎች ድምጽ የሚጠብቁ ጥገናዎችን ያቀርባል።

እውነተኛ የደህንነት ስጋቶችን በሚገመግሙበት ጊዜ አውድን መረዳት አስፈላጊ ነው፣ ነገር ግን አብዛኛዎቹ የሰው ሰራሽ አስተውሎት (AI) ደህንነት መሳሪያዎች ዝቅተኛ ተጽዕኖ የሚያሳድሩ ግኝቶችን እና የተሳሳቱ አወንታዊ ነገሮችን ብቻ ያመለክታሉ፣ ይህም የደህንነት ቡድኖች በትራያጅ ላይ ብዙ ጊዜ እንዲያሳልፉ ያስገድዳቸዋል። በተመሳሳይ ጊዜ፣ ወኪሎች የሶፍትዌር ልማትን እያፋጠኑ ነው፣ ይህም የደህንነት ግምገማን ከጊዜ ወደ ጊዜ አሳሳቢ ችግር ያደርገዋል።

Codex Security ሁለቱንም ችግሮች ይፈታል። ከግንባር ቀደም ሞዴሎቻችን የሚገኙ ወኪሎችን አመክንዮ ከራስ ሰር ማረጋገጫ ጋር በማጣመር፣ ቡድኖች አስፈላጊ በሆኑ ተጋላጭነቶች ላይ እንዲያተኩሩ እና ደህንነቱ የተጠበቀ ኮድ በፍጥነት እንዲልኩ ከፍተኛ በራስ መተማመን ያላቸውን ግኝቶች እና ተግባራዊ ሊሆኑ የሚችሉ ጥገናዎችን ያቀርባል።

ቀደም ሲል Aardvark⁠ በመባል የሚታወቀው Codex ሴኩሪቲ ባለፈው ዓመት አነስተኛ የደንበኞች ቡድን ይዞ የግል ቤታ ሆኖ ተጀምሯል። በመጀመሪያዎቹ የውስጥ ማሰማራቶች፣ እውነተኛ SSRF፣ ወሳኝ የሆነ ተከራይ-ተከራይ ማረጋገጫ ተጋላጭነት እና የደኅንነት ቡድናችን በጥቂት ሰዓታት ውስጥ ያስተካከላቸው ሌሎች በርካታ ጉዳዮችን ገለጠ። ከውጫዊ ሞካሪዎች ጋር ቀደም ብሎ መሰማራቱ ተጠቃሚዎች ተዛማጅ የምርት አውድ እንዴት እንደሚያቀርቡ እና ከውስጥ ከመግባት ወደ ኮዳቸው ደኅንነት እንዴት እንደሚሸጋገሩ እንድናሻሽል ረድቶናል። በተጨማሪም በቤታ ሂደቱ ወቅት የግኝቶቻችንን ጥራት በእጅጉ አሻሽለነዋል፦ በተመሳሳይ ማከማቻዎች ላይ የተደረጉ ቅኝቶች ከጊዜ ወደ ጊዜ እየጨመረ የሚሄድ ትክክለኛነት ያሳያሉ፣ በአንድ አጋጣሚ ደግሞ ከመጀመሪያው ልቀት ጀምሮ ድምፁን በ84% ቀንሰዋል።  ከመጠን በላይ ሪፖርት የተደረገባቸው የግኝቶች መጠን ከ90% በላይ ቀንሰናል፣ እና በምርመራዎች ላይ የተሳሳቱ አዎንታዊ ተመኖች በሁሉም ማከማቻዎች ከ50% በላይ ቀንሰዋል። እነዚህ ማሻሻያዎች የCodex ደኅንነት የተዘገበውን ክብደት ከእውነተኛው ዓለም ስጋት ጋር በተሻለ ሁኔታ እንዲያስተካክል እና ለደኅንነት ቡድኖች አላስፈላጊ የሆነ የደረጃ አሰጣጥ ጫናን ለመቀነስ ይረዳሉ፣ እና የሲግናል-ወደ-ጫጫታ ጥምርታ ተጨማሪ ኢንቨስትመንት በማድረግ መሻሻሉን እንደሚቀጥል እንጠብቃለን።

ከዛሬ ጀምሮ፣ Codex ደኅንነት ለChatGPT Enterprise፣ ንግድ ሥራ እና Edu ደንበኞች በCodex ድር በኩል ለቀጣዩ ወር በነፃ ጥቅም ላይ ይውላል።

Codex Security የOpenAI ግንባር ቀደን ሞዴሎችን እና Codex ወኪልን ይጠቀማል። በስርዓት-ተኮር አውድ ውስጥ የተጋላጭነት ግኝትን፣ ማረጋገጫን እና ጥገናን መሰረት በማድረግ ድምጽን መቀነስ እና ማረምን ማፋጠን ይችላል።

1. የስርዓት አውድ መገንባት እና ሊስተካከል የሚችል የስጋት ሞዴል መፍጠር፦ ቅኝትን ካዋቀረ በኋላ፣ የስርዓቱን ደህንነት-ተዛማጅነት ያለው መዋቅር ለመረዳት የእርስዎን የመረጃ ማከማቻ ይተነትናል እና ስርዓቱ የሚያደርገውን፣ የሚያምነውን እና በጣም የተጋለጠውን ቦታ ለመያዝ የሚያስችል ፕሮጀክት-ተኮር የስጋት ሞዴል ያመነጫል። የስጋት ሞዴሎች ወኪሉ ከቡድንዎ ጋር እንዲጣጣም ማስተካከል ይችላሉ።
2. ችግሮችን ቅድሚያ መስጠት እና ማረጋገጥ፡ የስጋት ሞዴሉን እንደ አውድ በመጠቀም፣ ተጋላጭነቶችን ይፈልጋል እና በስርዓትዎ ውስጥ በሚጠበቀው የእውነተኛ ዓለም ተጽዕኖ ላይ በመመስረት ግኝቶችን ይመደባል። በተቻለ መጠን፣ ሲግናልን ከጫጫታ ለመለየት በሳንድቦክስ የተነጠሉ የማረጋገጫ አካባቢዎች ውስጥ ግኝቶችን በጥንቃቄ ይፈትሻል። ተጠቃሚዎች ይህንን ትንታኔ በተረጋገጡት ግኝቶች ውስጥ ማየት ይችላሉ። Codex Security ከፕሮጀክትዎ ጋር በተጣጣመ አካባቢ ሲዋቀር፣ በቀጥታ በሚሰራ ስርዓቱ አውድ ውስጥ ሊከሰቱ የሚችሉ ችግሮችን ማረጋገጥ ይችላል። ያ ጥልቅ ማረጋገጫ የውሸት አወንታዊ ውጤቶችን የበለጠ ሊቀንስ እና ተግባራዊ የፅንሰ-ሀሳቦችን ማረጋገጫ እንዲፈጠር ያስችላል፣ ይህም ለደህንነት ቡድኖች የበለጠ ጠንካራ ማስረጃ እና ለማረም ግልጽ የሆነ መንገድ ይሰጣል።
3. ከሙሉ የስርዓት አውድ ጋር ችግሮችን ፓች ማድረግ፦ በመጨረሻም፣ Codex Security ከስርዓት ዓላማ እና ከአካባቢው ባህሪ ጋር የሚጣጣሙ የተገኙ ችግሮችን ለማስተካከል ሀሳብ ያቀርባል። ይህ የሪግሬሽን መጠንን በመቀነስ ደህንነትን የሚያሻሽሉ ጥገናዎችን ያስችላል፣ ይህም ለመገምገም እና ለማረፍ የበለጠ አስተማማኝ ያደርጋቸዋል። ተጠቃሚዎች ለቡድናቸው በጣም አስፈላጊ በሆነው ነገር ላይ እና ከፍተኛ የደህንነት ተጽእኖ ያላቸው ላይ እንዲያተኩሩ ግኝቶቹን ማጣራት ይችላሉ።

Codex Security የግኝቶቹን ጥራት ለማሻሻል ከጊዜ ወደ ጊዜ ከአስተያየትዎ መማር ይችላል። የአንድ ግኝትን ወሳኝነት ሲያስተካክሉ፣ ያ አስተያየት የስጋት ሞዴሉን ለማጥራት እና በቀጣይ ሙከራዎች ላይ ትክክለኛነትን ለማሻሻል ሊጠቀምበት ይችላል፣ ይህም የሆነው በአርክቴክቸርዎ እና በስጋት አቋምዎ ውስጥ ምን እንደሚጠቅም ስለሚማር ነው።

በስፋት እንዲሠራ እና ከፍተኛ በራስ መተማመን ያላቸውን ግኝቶች በቀላሉ ለመቀበል ቀላል በሆኑ ጥገናዎች ለማሳየት የተነደፈ ነው። ባለፉት 30 ቀናት ውስጥ፣ Codex Security በቤታ ቡድናችን ውስጥ ባሉ ውጫዊ ማከማቻዎች ውስጥ ከ1.2 ሚሊዮን በላይ ኮሚቶችን ቃኝቷል፣ 792 ወሳኝ ግኝቶችን እና 10,561 ከፍተኛ ክብደት ያላቸውን ግኝቶች ለይቷል። ከተቃኙት ኮሚቶች ውስጥ ከ0.1% በታች በሆኑ ወሳኝ ችግሮች ታይተዋል፣ ይህም ስርዓቱ ከፍተኛ መጠን ባለው የኮድ መጠን የደህንነት ተጽዕኖ የሚያሳድሩ ችግሮችን ለይቶ ለገምጋሚዎች ጫጫታን በመቀነስ መለየት እንደሚችል ያሳያል።

ኦፕን ሶርስ ሶፍትዌር የዘመናዊ ስርዓቶች መሠረት ሲሆን፣ ይህም የራሳችንን ስርዓቶች ያካትታል። Codex Security በብዛት የምንተማመንባቸውን ኦፕን ሶርስ ማከማቻዎችን ለመቃኘት እየተጠቀምንበት ነው፣ ከፍተኛ ተጽዕኖ ፈጣሪ የደህንነት ግኝቶችን ከአስተዳዳሪዎች ጋር በማጋራት ያንን መሠረት ለማጠናከር እንረዳለን።

ከአስተዳዳሪዎች ጋር ባደረግነው ውይይት፣ ወጥ የሆነ ጭብጥ ብቅ አለ፦ ችግሩ የተጋላጭነት ሪፖርቶች እጥረት ሳይሆን በጣም ብዙ ጥራት የሌላቸው ሪፖርቶች መሆናቸው ናቸው። አስተዳዳሪዎች ተጨማሪ የትራያጅ ሸክም ሳይፈጥሩ እውነተኛ የደህንነት ችግሮችን ለማጋለጥ ጥቂት የተሳሳቱ አዎንታዊ ውጤቶችን እና የበለጠ ዘላቂ የሆነ መንገድ እንደሚያስፈልጋቸው ነግረውናል። እነዚህ ውይይቶች Codex Security በመጠቀም የኦፕን ሶርስ ማህበረሰቡን እንዴት እንደምንደግፍ ለመቅረጽ ረድተውናል። ከፍተኛ መጠን ያላቸውን ግምታዊ ግኝቶች ከማመንጨት ይልቅ፣ አስተዳዳሪዎች በፍጥነት እርምጃ ሊወስዱባቸው የሚችሉ ከፍተኛ በራስ መተማመን ያላቸውን ችግሮች ቅድሚያ የሚሰጥ ስርዓት እየገነባን ነው።

የዚህ ሥራ አካል በመሆን፣ OpenSSH⁠(በአዲስ መስኮት ውስጥ ይክፈታል)፣ GnuTLS⁠(በአዲስ መስኮት ውስጥ ይክፈታል)፣ GOGS⁠(በአዲስ መስኮት ውስጥ ይክፈታል)፣ Thorium⁠(በአዲስ መስኮት ውስጥ ይክፈታል) libssh፣ PHP እና Chromium እና ሌሎችንም ጨምሮ በስፋት ጥቅም ላይ የዋሉ በርካታ ክፍት ምንጭ ፕሮጀክቶች ላይ ወሳኝ ተጋላጭነቶችን ሪፖርት አድርገናል። አስራ አራት CVEዎች በሁለት ላይ ድርብ ሪፖርት እንዲያደርጉ ተመድበዋል — በአባሪው ውስጥ አንዳንድ ምሳሌዎችን አጋርተናል።

በቅርቡ የመጀመሪያውን ኦፕን ሶርስ ጠባቂዎች ቡድን ወደ Codex ለOSS ማስገባት ጀምረናል፤ ይህም ሥነ-ምህዳሩን በነጻ የChatGPT Pro እና Plus መለያዎች፣ የኮድ ግምገማ እና የኮዴክስ ደህንነት የሚደግፈው ፕሮግራማችን ነው። እንደ vLLM ያሉ ፕሮጀክቶች ችግሮችን እንደ መደበኛ የስራ ፍሰታቸው አካል ለማግኘት እና ለማስተካከል Codex Security ተጠቅመዋል።

ተጨማሪ አስተዳዳሪዎች ለተሻለ ደህንነት፣ የስራ ፍሰቶችን የበለጠ ለመገምገም እና ሥነ-ምህዳሩ በሚተማመንበት ኦፕን ሶርስ ስራ ላይ ድጋፍ እንዲያገኙ በሚቀጥሉት ሳምንታት ፕሮግራሙን ለማስፋት አቅደናል። ኦፕን ሶርስ አስተዳዳሪ ከሆኑ እና ፍላጎት ካሎት፣ እባክዎ ያነጋግሩን⁠።

በሚቀጥሉት ቀናት ውስጥ ለChatGPT Enterprise፣ Business እና Edu ደንበኞች የCodex Security አገልግሎት እንሰጣለን። ለቡድንዎ Codex Security እንዴት ማዋቀር እንደሚቻል ተጨማሪ ለማወቅ የእኛን ሰነዶች⁠(በአዲስ መስኮት ውስጥ ይክፈታል) ይመልከቱ።

• GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990⁠(በአዲስ መስኮት ውስጥ ይክፈታል)
• GnuTLS Heap Buffer Overread in SCT Extension Parsing — CVE-2025-32989⁠(በአዲስ መስኮት ውስጥ ይክፈታል)
• GnuTLS Double-Free in otherName SAN Export — CVE-2025-32988⁠(በአዲስ መስኮት ውስጥ ይክፈታል)
• 2FA Bypass GOGS — CVE-2025-64175⁠(በአዲስ መስኮት ውስጥ ይክፈታል)
• Unauth bypass GOGS — CVE-2026-25242⁠(በአዲስ መስኮት ውስጥ ይክፈታል)
• Path traversal (arbitrary write) — download_ephemeral, download_children (agent) — CVE-2025-35430⁠(በአዲስ መስኮት ውስጥ ይክፈታል)
• LDAP injection (filters & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431⁠(በአዲስ መስኮት ውስጥ ይክፈታል)
• Unauthenticated DoS & mail abuse — resend_email_verification — CVE-2025-35432⁠(በአዲስ መስኮት ውስጥ ይክፈታል) , CVE-2025-35436⁠(በአዲስ መስኮት ውስጥ ይክፈታል)
• Session not rotated on password change — User::update_user — CVE-2025-35433⁠(በአዲስ መስኮት ውስጥ ይክፈታል)
• Disabled TLS verification — Elasticsearch client — CVE-2025-35434⁠(በአዲስ መስኮት ውስጥ ይክፈታል)
• DoS: division by zero — /api/streams/depth/.../{split} — CVE-2025-35435⁠(በአዲስ መስኮት ውስጥ ይክፈታል)
• gpg-agent stack buffer overflow via PKDECRYPT --kem=CMS (ECC KEM) — CVE-2026-24881⁠(በአዲስ መስኮት ውስጥ ይክፈታል)
• Stack-based buffer overflow in TPM2 PKDECRYPT for RSA and ECC due to missing ciphertext length validation — CVE-2026-24882⁠(በአዲስ መስኮት ውስጥ ይክፈታል)
• CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow — CVE-2025-15467⁠(በአዲስ መስኮት ውስጥ ይክፈታል)
• PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass — CVE-2025-11187⁠(በአዲስ መስኮት ውስጥ ይክፈታል)