আজ আমরা আমাদের নতুন অ্যাপ্লিকেশন সিকিউরিটি এজেন্ট—Codex Security-এর সাথে আপনাদের পরিচয় করিয়ে দিচ্ছি. এটি আপনার প্রকল্প সম্পর্কে গভীর প্রেক্ষাপট তৈরি করে, যাতে অন্য এজেন্টিক টুলগুলো যে জটিল দুর্বলতাগুলো মিস করে সেগুলো শনাক্ত করা যায় এবং এমন উচ্চতর-আত্মবিশ্বাসযোগ্য ফাইন্ডিংস ও ফিক্স সামনে আনে যা আপনার সিস্টেমের নিরাপত্তা অর্থপূর্ণভাবে উন্নত করে, একই সঙ্গে আপনাকে তুচ্ছ বাগের অপ্রয়োজনীয় নয়েজ থেকে বাঁচায়.
বাস্তব নিরাপত্তা ঝুঁকি মূল্যায়নের ক্ষেত্রে কনটেক্সট অত্যন্ত গুরুত্বপূর্ণ, কিন্তু বেশিরভাগ AI সিকিউরিটি টুল কেবল কম-প্রভাবের ফাইন্ডিংস এবং ফলস পজিটিভ ফ্ল্যাগ করে, ফলে সিকিউরিটি টিমগুলোকে ট্রায়াজে উল্লেখযোগ্য সময় ব্যয় করতে বাধ্য হতে হয়. একই সময়ে, এজেন্টরা সফটওয়্যার ডেভেলপমেন্ট ত্বরান্বিত করছে, ফলে নিরাপত্তা রিভিউ ক্রমবর্ধমানভাবে একটি গুরুত্বপূর্ণ বটলনেক হয়ে উঠছে.
Codex Security উভয় চ্যালেঞ্জ মোকাবিলা করে. আমাদের অত্যাধুনিক মডেলগুলির এজেন্টিক যুক্তিকে স্বয়ংক্রিয় যাচাইকরণের সাথে একত্রিত করে, এটি উচ্চ-আত্মবিশ্বাসের ফলাফল এবং কার্যকর সমাধান প্রদান করে, যাতে দলগুলি গুরুত্বপূর্ণ দুর্বলতাগুলির উপর মনোযোগ দিতে পারে এবং দ্রুত নিরাপদ কোড শিপ করতে পারে.
পূর্বে Aardvark নামে পরিচিত, Codex Security গত বছর অল্প সংখ্যক গ্রাহকের একটি ছোট গ্রুপের সঙ্গে প্রাইভেট বিটা হিসেবে শুরু হয়েছিল. প্রাথমিক অভ্যন্তরীণ ডেপ্লয়মেন্টের সময় এটি একটি প্রকৃত SSRF, একটি অত্যন্ত গুরুত্বপূর্ণ ক্রস-টেন্যান্ট অথেনটিকেশন ভালনারেবিলিটি এবং আরও অনেক সমস্যা চিহ্নিত করেছে, যা আমাদের সিকিউরিটি টিম কয়েক ঘণ্টার মধ্যেই সমাধান করে ফেলেছে. বাহ্যিক পরীক্ষকদের সঙ্গে প্রথম দিকের প্রয়োগ আমাদেরকে ব্যবহারকারীরা কিভাবে প্রাসঙ্গিক প্রোডাক্ট প্রেক্ষাপট প্রদান করেন তা উন্নত করতে এবং অনবোর্ডিং থেকে তাদের কোড সুরক্ষিত করার দিকে এগোতে সহায়তা করেছে. বিটা চলাকালীন আমরা আমাদের ফলাফলের গুণমানও উল্লেখযোগ্যভাবে উন্নত করেছি: সময়ের সাথে একই রিপোজিটরিগুলিতে স্ক্যানগুলো ক্রমবর্ধমান নির্ভুলতা দেখায়, এক ক্ষেত্রে প্রাথমিক রোলআউটের পর থেকে নয়েজ 84% কমিয়েছে. আমরা অতিরিক্ত রিপোর্ট করা তীব্রতাসহ ফাইন্ডিংসের হার 90%-এরও বেশি কমিয়েছি, এবং সব রিপোজিটরিতে ডিটেকশনগুলোর মিথ্যা-ইতিবাচক হার 50%-এরও বেশি কমেছে. এই উন্নতিগুলো Codex Security রিপোর্টকৃত ঝুঁকির মাত্রার সাথে বাস্তব পরিস্থিতির ঝুঁকির আরও ভালো সামঞ্জস্য বজায় রাখতে সাহায্য করে এবং সিকিউরিটি টিমগুলোর উপর থেকে অপ্রয়োজনীয় ট্রায়াজের চাপ কমায়. এছাড়া, আমরা আশা করছি যে, আরও বিনিয়োগের ফলে এর সিগন্যাল-টু-নয়েজ রেশিও ক্রমাগত উন্নত হতে থাকবে.
আজ থেকে Codex Security Codex web-এর মাধ্যমে ChatGPT Enterprise, Business এবং Edu গ্রাহকদের জন্য চালু করা হচ্ছে এবং আগামী এক মাস বিনামূল্যে ব্যবহার করা যাবে.
Codex Security OpenAI-এর অত্যাধুনিক মডেল এবং Codex এজেন্টকে কাজে লাগায়. এটি সিস্টেম-নির্দিষ্ট প্রেক্ষাপটে দুর্বলতা আবিষ্কার, বৈধতা যাচাই এবং প্যাচিংকে গ্রাউন্ডিং করার মাধ্যমে নয়েজ কমাতে এবং প্রতিকার ত্বরান্বিত করতে পারে.
- সিস্টেমের প্রেক্ষাপট তৈরি করুন এবং একটি সম্পাদনাযোগ্য হুমকি মডেল তৈরি করুন: একটি স্ক্যান কনফিগার করার পরে, এটি আপনার রিপোজিটরি বিশ্লেষণ করে সিস্টেমের নিরাপত্তা-সংশ্লিষ্ট কাঠামো বুঝতে এবং একটি প্রকল্প-নির্দিষ্ট হুমকি মডেল তৈরি করে, যা সিস্টেম কী করে, এটি কাকে বিশ্বাস করে এবং কোথায় এটি সবচেয়ে বেশি উন্মুক্ত—তা ধারণ করতে পারে. আপনার টিমের সাথে এজেন্টকে সমন্বিত রাখতে থ্রেট মডেল সম্পাদনা করা যেতে পারে.
- সমস্যাগুলিকে অগ্রাধিকার দিন এবং যাচাই করুন: থ্রেট মডেলকে প্রেক্ষাপট হিসেবে ব্যবহার করে, এটি দুর্বলতাগুলি খোঁজে এবং আপনার সিস্টেমে বাস্তব জগতের প্রত্যাশিত প্রভাবের ভিত্তিতে ফলাফলগুলিকে শ্রেণিবদ্ধ করে. যতটা সম্ভব, এটি স্যান্ডবক্সযুক্ত যাচাইকরণ পরিবেশে ফলাফলগুলো চাপ-পরীক্ষা করে সংকেতকে শব্দ থেকে আলাদা করতে. ব্যবহারকারীরা যাচাইকৃত ফলাফলে এই বিশ্লেষণটি দেখতে পারেন. যখন Codex Security আপনার প্রজেক্টের জন্য উপযোগী একটি এনভায়রনমেন্ট দিয়ে কনফিগার করা হয়, তখন এটি চলমান সিস্টেমের কনটেক্সটেই সম্ভাব্য সমস্যাগুলো যাচাই করতে পারে. সেই গভীরতর যাচাইকরণ আরও বেশি করে ভুল পজিটিভ কমাতে পারে এবং কার্যকর প্রুফ অফ কনসেপ্ট তৈরি করতে সক্ষম করে, যা সিকিউরিটি টিমকে আরও শক্তিশালী প্রমাণ এবং রেমিডিয়েশনের জন্য আরও স্পষ্ট পথ দেয়.
- পূর্ণ সিস্টেম কনটেক্সটসহ প্যাচ সমস্যাগুলি: শেষে, Codex Security আবিষ্কৃত সমস্যাগুলোর জন্য এমন সমাধান প্রস্তাব করে যা সিস্টেমের উদ্দেশ্য এবং আশেপাশের আচরণের সাথে সামঞ্জস্যপূর্ণ. এটি এমন প্যাচ সক্ষম করে যা রিগ্রেশন কমিয়ে সিকিউরিটি উন্নত করতে পারে, ফলে সেগুলো রিভিউ করা এবং ল্যান্ড করা আরও নিরাপদ হয়. ব্যবহারকারীরা ফলাফলগুলো ফিল্টার করতে পারেন, যাতে তারা তাদের টিমের জন্য সবচেয়ে গুরুত্বপূর্ণ বিষয়গুলোর উপর ফোকাস রাখতে পারেন এবং যার নিরাপত্তা প্রভাব সবচেয়ে বেশি.
Codex Security সময়ের সাথে সাথে আপনার ফিডব্যাক থেকেও শিখতে পারে, যাতে এর ফলাফলের গুণমান উন্নত হয়. আপনি যখন কোনো ফাইন্ডিং-এর ক্রিটিক্যালিটি সমন্বয় করেন, তখন এটি সেই ফিডব্যাক ব্যবহার করে থ্রেট মডেলকে পরিমার্জিত করতে পারে এবং পরবর্তী রানগুলোতে প্রিসিশন উন্নত করতে পারে, কারণ এটি আপনার আর্কিটেকচার এবং রিস্ক পোস্টচারে কী গুরুত্বপূর্ণ তা শিখে নেয়.
এটি বড় পরিসরে পরিচালনার জন্য ডিজাইন করা হয়েছে এবং সহজে গ্রহণযোগ্য প্যাচসহ সর্বোচ্চ-আত্মবিশ্বাসযোগ্য সন্ধানগুলো সামনে আনে. গত 30 দিনে, Codex Security আমাদের বেটা কোহর্টের বাহ্যিক রিপোজিটরিগুলিতে 1.2 মিলিয়নেরও বেশি কমিট স্ক্যান করেছে, 792-টি ক্রিটিক্যাল ফাইন্ডিং এবং 10,561-টি উচ্চ-তীব্রতার ফাইন্ডিং শনাক্ত করেছে. স্ক্যান করা কমিটগুলোর 0.1%-এরও কমে গুরুতর সমস্যা দেখা গেছে, যা দেখায় যে সিস্টেমটি রিভিউয়ারদের জন্য নয়েজ কমিয়ে রেখে বিপুল পরিমাণ কোডে নিরাপত্তার উপর প্রভাব ফেলে এমন সমস্যাগুলি সনাক্ত করতে পারে.
"পণ্য সুরক্ষার বিষয়ে অত্যন্ত মনোযোগী একটি কোম্পানি হিসেবে, 'আর্লি এক্সেস প্রোগ্রাম'-এ অংশগ্রহণ করতে পেরে ।NETGEAR আনন্দিত এবং এর ফলাফল আমাদের প্রত্যাশাকেও ছাড়িয়ে গেছে. Codex Security আমাদের শক্তিশালী সিকিউরিটি ডেভেলপমেন্ট এনভায়রনমেন্টে অনায়াসে একীভূত হয়েছে, যা আমাদের রিভিউ প্রক্রিয়ার গতি এবং গভীরতা আরও শক্তিশালী করেছে. এর ফলাফলগুলো ছিল চমৎকারভাবে স্পষ্ট এবং পূর্ণাঙ্গ, যা প্রায়ই এমন অনুভূতি দিত যে একজন অভিজ্ঞ প্রোডাক্ট সিকিউরিটি গবেষক আমাদের সঙ্গে পাশাপাশি কাজ করছেন."
ওপেন সোর্স সফটওয়্যার আধুনিক সিস্টেমগুলোর ভিত্তি গঠন করে, আমাদের নিজস্ব সিস্টেমসহ. আমরা যে ওপেন-সোর্স রিপোজিটরিগুলোর উপর সবচেয়ে বেশি নির্ভর করি, সেগুলো স্ক্যান করতে Codex Security ব্যবহার করছি এবং আমরা যে উচ্চ প্রভাবসম্পন্ন নিরাপত্তা-সংক্রান্ত ফলাফল শনাক্ত করি সেগুলো মেইনটেইনারদের সঙ্গে শেয়ার করছি, যাতে সেই ভিত্তি আরও শক্তিশালী করতে সাহায্য করা যায়.
মেইনটেইনারদের সঙ্গে আমাদের কথোপকথনে একটি ধারাবাহিক থিম উঠে এসেছে: চ্যালেঞ্জটা দুর্বলতা রিপোর্টের অভাব নয়, বরং নিম্নমানের রিপোর্ট খুব বেশি হওয়া. রক্ষণাবেক্ষণকারীরা আমাদের বলেছেন যে তাদের কম মিথ্যা ইতিবাচক এবং অতিরিক্ত ট্রায়াজের বোঝা তৈরি না করে বাস্তব নিরাপত্তা সমস্যাগুলো প্রকাশ করার আরও টেকসই উপায় দরকার. এই কথোপকথনগুলো Codex Security-এর মাধ্যমে ওপেন সোর্স কমিউনিটিকে আমরা কিভাবে সহায়তা করছি, তা গড়ে তুলতে সাহায্য করেছে. অনুমানভিত্তিক বিপুল পরিমাণ ফলাফল তৈরি করার পরিবর্তে, আমরা এমন একটি সিস্টেম তৈরি করছি যা উচ্চ-আস্থার সমস্যাগুলিকে অগ্রাধিকার দেয়, যেগুলোর উপর মেইনটেইনাররা দ্রুত পদক্ষেপ নিতে পারেন.
এই কাজের অংশ হিসেবে, আমরা বহুল ব্যবহৃত বেশ কিছু ওপেন-সোর্স প্রজেক্টের গুরুতর নিরাপত্তা ত্রুটি সম্পর্কে কর্তৃপক্ষকে অবহিত করেছি; যার মধ্যে OpenSSH(একটি নতুন উইন্ডোতে খোলে), GnuTLS(একটি নতুন উইন্ডোতে খোলে), GOGS(একটি নতুন উইন্ডোতে খোলে), Thorium(একটি নতুন উইন্ডোতে খোলে) libssh, PHP, Chromium এবং আরও অন্যান্য প্রজেক্ট অন্তর্ভুক্ত. দুটি বিষয়ে দ্বৈত রিপোর্টিংসহ চৌদ্দটি CVE বরাদ্দ করা হয়েছে — আমরা পরিশিষ্টে কিছু উদাহরণ শেয়ার করেছি.
আমরা সম্প্রতি Codex for OSS-এ ওপেন-সোর্স মেইনটেইনারদের একটি প্রাথমিক কোহর্ট অনবোর্ডিং শুরু করেছি—এটি আমাদের এমন একটি প্রোগ্রাম, যা ইকোসিস্টেমকে বিনামূল্যে ChatGPT Pro এবং ChatGPT Plus অ্যাকাউন্ট, কোড রিভিউ এবং Codex সিকিউরিটি দিয়ে সাপোর্ট করে. vLLM-এর মতো প্রজেক্টগুলো তাদের স্বাভাবিক ওয়ার্কফ্লোর অংশ হিসেবে Codex Security ব্যবহার করে ইতিমধ্যেই সমস্যা খুঁজে বের করে প্যাচ করেছে.
আমরা আগামী কয়েক সপ্তাহের মধ্যে প্রোগ্রামটি সম্প্রসারণ করার পরিকল্পনা করছি, যাতে আরও বেশি মেইনটেইনার উন্নত নিরাপত্তা, আরও শক্তিশালী রিভিউ ওয়ার্কফ্লো এবং ইকোসিস্টেম যে ওপেন-সোর্স কাজের উপর নির্ভর করে তার জন্য সহায়তার একটি সরাসরি পথ পায়. আপনি যদি একজন ওপেন-সোর্স মেইনটেইনার হন এবং আগ্রহী হন, অনুগ্রহ করে যোগাযোগ করুন.
আগামী কয়েক দিনের মধ্যে আমরা ChatGPT Enterprise, Business এবং Edu গ্রাহকদের জন্য Codex Security অ্যাক্সেস চালু (রোল আউট) করব. Codex Security আপনার টিমের জন্য সেটআপ করার বিষয়ে আরও জানতে আমাদের ডকুমেন্টেশন(একটি নতুন উইন্ডোতে খোলে) দেখুন.
- GnuTLS certtool হিপ-বাফার ওভারফ্লো (অফ-বাই-ওয়ান) — CVE-2025-32990(একটি নতুন উইন্ডোতে খোলে)
- SCT এক্সটেনশন পার্সিংয়ে GnuTLS হিপ বাফার ওভাররিড — CVE-2025-32989(একটি নতুন উইন্ডোতে খোলে)
- GnuTLS-এ otherName SAN এক্সপোর্টে ডাবল-ফ্রি — CVE-2025-32988(একটি নতুন উইন্ডোতে খোলে)
- 2FA Bypass GOGS — CVE-2025-64175(একটি নতুন উইন্ডোতে খোলে)
- অননুমোদিত বাইপাস GOGS — CVE-2026-25242(একটি নতুন উইন্ডোতে খোলে)
- পাথ ট্রাভার্সাল (ইচ্ছামতো লেখা) — download_ephemeral, download_children (এজেন্ট) — CVE-2025-35430(একটি নতুন উইন্ডোতে খোলে)
- LDAP ইনজেকশন (ফিল্টার এবং DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(একটি নতুন উইন্ডোতে খোলে)
- প্রমাণীকরণবিহীন DoS এবং মেইল অপব্যবহার — resend_email_verification — CVE-2025-35432(একটি নতুন উইন্ডোতে খোলে) , CVE-2025-35436(একটি নতুন উইন্ডোতে খোলে)
- পাসওয়ার্ড পরিবর্তনের সময় সেশন রোটেট করা হয়নি — User::update_user — CVE-2025-35433(একটি নতুন উইন্ডোতে খোলে)
- TLS যাচাইকরণ নিষ্ক্রিয় — Elasticsearch ক্লায়েন্ট — CVE-2025-35434(একটি নতুন উইন্ডোতে খোলে)
- DoS: শূন্য দিয়ে ভাগ — /api/streams/depth/.../{split} — CVE-2025-35435(একটি নতুন উইন্ডোতে খোলে)
- PKDECRYPT --kem=CMS (ECC KEM)-এর মাধ্যমে gpg-এজেন্ট স্ট্যাক বাফার ওভারফ্লো — CVE-2026-24881(একটি নতুন উইন্ডোতে খোলে)
- সাইফারটেক্সটের দৈর্ঘ্য যাচাই অনুপস্থিত থাকার কারণে RSA এবং ECC-এর জন্য TPM2 PKDECRYPT-এ স্ট্যাক-ভিত্তিক বাফার ওভারফ্লো — CVE-2026-24882(একটি নতুন উইন্ডোতে খোলে)
- CMS/PKCS7 AES-GCM ASN.1 প্যারামস স্ট্যাক বাফার ওভারফ্লো — CVE-2025-15467(একটি নতুন উইন্ডোতে খোলে)
- PKCS#12 PBMAC1 PBKDF2 keyLength ওভারফ্লো + MAC বাইপাস — CVE-2025-11187(একটি নতুন উইন্ডোতে খোলে)
