ਅੱਜ ਅਸੀਂ Codex Security ਪੇਸ਼ ਕਰ ਰਹੇ ਹਾਂ, ਜੋ ਸਾਡਾ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਏਜੰਟ ਹੈ। ਇਹ ਤੁਹਾਡੇ ਪ੍ਰੋਜੈਕਟ ਬਾਰੇ ਡੂੰਘਾ ਸੰਦਰਭ ਬਣਾਉਂਦਾ ਹੈ ਤਾਂ ਜੋ ਉਹ ਜਟਿਲ ਕਮਜ਼ੋਰੀਆਂ ਪਛਾਣ ਸਕੇ ਜੋ ਹੋਰ ਏਜੰਟਿਕ ਟੂਲਾਂ ਤੋਂ ਰਹਿ ਜਾਂਦੀਆਂ ਹਨ, ਅਤੇ ਘੱਟ ਮਹੱਤਵ ਵਾਲੇ ਬੱਗਾਂ ਦੇ ਸ਼ੋਰ ਤੋਂ ਬਚਾਉਂਦੇ ਹੋਏ ਵੱਧ ਭਰੋਸੇਯੋਗ ਖੋਜਾਂ ਅਤੇ ਉਨ੍ਹਾਂ ਦੇ ਹੱਲ ਸਾਹਮਣੇ ਲਿਆਉਂਦਾ ਹੈ ਜੋ ਤੁਹਾਡੇ ਸਿਸਟਮ ਦੀ ਸੁਰੱਖਿਆ ਨੂੰ ਅਰਥਪੂਰਨ ਢੰਗ ਨਾਲ ਸੁਧਾਰਦੇ ਹਨ.
ਅਸਲ ਸੁਰੱਖਿਆ ਖਤਰਿਆਂ ਦਾ ਮੁਲਾਂਕਣ ਕਰਦੇ ਸਮੇਂ ਸੰਦਰਭ ਬਹੁਤ ਜ਼ਰੂਰੀ ਹੁੰਦਾ ਹੈ, ਪਰ ਜ਼ਿਆਦਾਤਰ AI ਸੁਰੱਖਿਆ ਟੂਲ ਸਿਰਫ਼ ਘੱਟ-ਪ੍ਰਭਾਵ ਵਾਲੀਆਂ ਖੋਜਾਂ ਅਤੇ ਝੂਠੇ ਪੌਜ਼ਿਟਿਵ ਹੀ ਫਲੈਗ ਕਰਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਨੂੰ ਛਾਂਟਣ 'ਤੇ ਕਾਫ਼ੀ ਸਮਾਂ ਲਗਾਉਣਾ ਪੈਂਦਾ ਹੈ। ਇਸੇ ਵੇਲੇ, ਏਜੰਟ ਸਾਫਟਵੇਅਰ ਵਿਕਾਸ ਨੂੰ ਤੇਜ਼ ਕਰ ਰਹੇ ਹਨ, ਜਿਸ ਨਾਲ ਸੁਰੱਖਿਆ ਸਮੀਖਿਆ ਇੱਕ ਵਧਦੀ ਹੋਈ ਨਾਜ਼ੁਕ ਰੁਕਾਵਟ ਬਣ ਰਹੀ ਹੈ। Codex Security ਦੋਵੇਂ ਚੁਣੌਤੀਆਂ ਦਾ ਹੱਲ ਕਰਦਾ ਹੈ। ਸਾਡੇ ਅਤਿ-ਆਧੁਨਿਕ ਮਾਡਲਾਂ ਦੀ ਏਜੰਟਿਕ ਰੀਜ਼ਨਿੰਗ ਨੂੰ ਆਟੋਮੈਟਿਕ ਵੈਲੀਡੇਸ਼ਨ ਨਾਲ ਜੋੜ ਕੇ, ਇਹ ਉੱਚ-ਭਰੋਸੇ ਵਾਲੀਆਂ ਖੋਜਾਂ ਅਤੇ ਕਾਰਵਾਈਯੋਗ ਹੱਲ ਦਿੰਦਾ ਹੈ ਤਾਂ ਜੋ ਟੀਮਾਂ ਉਹਨਾਂ ਕਮਜ਼ੋਰੀਆਂ 'ਤੇ ਧਿਆਨ ਦੇ ਸਕਣ ਜੋ ਸੱਚਮੁੱਚ ਮਹੱਤਵ ਰੱਖਦੀਆਂ ਹਨ ਅਤੇ ਸੁਰੱਖਿਅਤ ਕੋਡ ਨੂੰ ਜ਼ਿਆਦਾ ਤੇਜ਼ੀ ਨਾਲ ਸ਼ਿਪ ਕਰ ਸਕਣ.
ਪਹਿਲਾਂ Aardvark ਦੇ ਨਾਂ ਨਾਲ ਜਾਣਿਆ ਜਾਣ ਵਾਲਾ, Codex Security ਨੇ ਪਿਛਲੇ ਸਾਲ ਗਾਹਕਾਂ ਦੇ ਇੱਕ ਛੋਟੇ ਸਮੂਹ ਨਾਲ ਇੱਕ ਪ੍ਰਾਈਵੇਟ ਬੀਟਾ ਵਜੋਂ ਸ਼ੁਰੂਆਤ ਕੀਤੀ ਸੀ। ਸ਼ੁਰੂਆਤੀ ਅੰਦਰੂਨੀ ਡਿਪਲੌਇਮੈਂਟਾਂ ਵਿੱਚ, ਇਸ ਨੇ ਇੱਕ ਅਸਲ SSRF, ਇੱਕ ਨਾਜ਼ੁਕ cross-tenant authentication ਕਮਜ਼ੋਰੀ, ਅਤੇ ਹੋਰ ਬਹੁਤ ਸਾਰੀਆਂ ਸਮੱਸਿਆਵਾਂ ਸਾਹਮਣੇ ਲਿਆਈਆਂ ਜਿਨ੍ਹਾਂ ਨੂੰ ਸਾਡੀ ਸੁਰੱਖਿਆ ਟੀਮ ਨੇ ਘੰਟਿਆਂ ਵਿੱਚ ਪੈਚ ਕਰ ਦਿੱਤਾ। ਬਾਹਰੀ ਟੈਸਟਰਾਂ ਨਾਲ ਸ਼ੁਰੂਆਤੀ ਡਿਪਲੌਇਮੈਂਟਾਂ ਨੇ ਸਾਨੂੰ ਇਹ ਸੁਧਾਰਨ ਵਿੱਚ ਮਦਦ ਕੀਤੀ ਕਿ ਯੂਜ਼ਰ ਸੰਬੰਧਿਤ ਉਤਪਾਦ ਸੰਦਰਭ ਕਿਵੇਂ ਦਿੰਦੇ ਹਨ ਅਤੇ onboarding ਤੋਂ ਆਪਣੇ ਕੋਡ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਤੱਕ ਕਿਵੇਂ ਵਧਦੇ ਹਨ। ਅਸੀਂ ਬੀਟਾ ਦੌਰਾਨ ਆਪਣੀਆਂ ਖੋਜਾਂ ਦੀ ਗੁਣਵੱਤਾ ਵਿੱਚ ਵੀ ਵੱਡਾ ਸੁਧਾਰ ਕੀਤਾ: ਇੱਕੋ ਰਿਪੋਜ਼ਟਰੀਆਂ 'ਤੇ ਸਮੇਂ ਦੇ ਨਾਲ ਕੀਤੇ ਸਕੈਨ ਵਧਦੀ ਹੋਈ ਸ਼ੁੱਧਤਾ ਦਿਖਾਉਂਦੇ ਹਨ, ਅਤੇ ਇੱਕ ਕੇਸ ਵਿੱਚ ਸ਼ੁਰੂਆਤੀ ਰੋਲਆਉਟ ਤੋਂ ਬਾਅਦ ਸ਼ੋਰ 84% ਘਟ ਗਿਆ। ਅਸੀਂ ਵੱਧ ਰਿਪੋਰਟ ਕੀਤੀ ਗਈ severity ਵਾਲੀਆਂ ਖੋਜਾਂ ਦੀ ਦਰ ਨੂੰ 90% ਤੋਂ ਵੱਧ ਘਟਾਇਆ ਹੈ, ਅਤੇ ਸਾਰੇ ਰਿਪੋਜ਼ਟਰੀਆਂ ਵਿੱਚ ਡਿਟੈਕਸ਼ਨਾਂ ਉੱਤੇ false positive ਦਰਾਂ 50% ਤੋਂ ਵੱਧ ਘਟ ਗਈਆਂ ਹਨ। ਇਹ ਸੁਧਾਰ Codex Security ਨੂੰ ਰਿਪੋਰਟ ਕੀਤੀ severity ਨੂੰ ਅਸਲ ਦੁਨੀਆ ਦੇ ਖਤਰੇ ਨਾਲ ਵਧੀਆ ਤੌਰ 'ਤੇ ਮੇਲ ਕਰਨ ਅਤੇ ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਲਈ ਬੇਲੋੜੇ triage ਦਾ ਬੋਝ ਘਟਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰਦੇ ਹਨ, ਅਤੇ ਅਸੀਂ ਉਮੀਦ ਕਰਦੇ ਹਾਂ ਕਿ signal-to-noise ratio ਹੋਰ ਸੁਧਰੇਗਾ.
ਅੱਜ ਤੋਂ, Codex Security ਅਗਲੇ ਮਹੀਨੇ ਲਈ ਮੁਫ਼ਤ ਵਰਤੋਂ ਨਾਲ Codex web ਰਾਹੀਂ ChatGPT Pro, Enterprise, Business, ਅਤੇ Edu ਗਾਹਕਾਂ ਲਈ ਰਿਸਰਚ ਪ੍ਰੀਵਿਊ ਵਿੱਚ ਰੋਲਆਉਟ ਹੋ ਰਿਹਾ ਹੈ.
Codex Security OpenAI ਦੇ ਅਤਿ-ਆਧੁਨਿਕ ਮਾਡਲਾਂ ਅਤੇ Codex ਏਜੰਟ ਦਾ ਲਾਭ ਲੈਂਦਾ ਹੈ। ਇਹ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਖੋਜ, ਵੈਲੀਡੇਸ਼ਨ ਅਤੇ ਪੈਚਿੰਗ ਨੂੰ ਸਿਸਟਮ-ਵਿਸ਼ੇਸ਼ ਸੰਦਰਭ ਵਿੱਚ ਗ੍ਰਾਊਂਡਿੰਗ ਕਰਕੇ ਸ਼ੋਰ ਘਟਾ ਸਕਦਾ ਹੈ ਅਤੇ remediation ਨੂੰ ਤੇਜ਼ ਕਰ ਸਕਦਾ ਹੈ.
- ਸਿਸਟਮ ਸੰਦਰਭ ਬਣਾਓ ਅਤੇ ਇੱਕ ਸੋਧਯੋਗ threat model ਤਿਆਰ ਕਰੋ: ਸਕੈਨ ਨੂੰ ਸੰਰਚਿਤ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਇਹ ਤੁਹਾਡੇ ਰਿਪੋਜ਼ਟਰੀ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ ਸਿਸਟਮ ਦੀ ਸੁਰੱਖਿਆ-ਸੰਬੰਧੀ ਬਣਤਰ ਨੂੰ ਸਮਝ ਸਕੇ ਅਤੇ ਇੱਕ ਪ੍ਰੋਜੈਕਟ-ਵਿਸ਼ੇਸ਼ threat model ਤਿਆਰ ਕਰੇ ਜੋ ਇਹ ਕੈਪਚਰ ਕਰ ਸਕੇ ਕਿ ਸਿਸਟਮ ਕੀ ਕਰਦਾ ਹੈ, ਉਹ ਕਿਸ 'ਤੇ ਭਰੋਸਾ ਕਰਦਾ ਹੈ, ਅਤੇ ਉਹ ਸਭ ਤੋਂ ਵੱਧ ਕਿੱਥੇ ਐਕਸਪੋਜ਼ਡ ਹੈ। ਏਜੰਟ ਨੂੰ ਤੁਹਾਡੀ ਟੀਮ ਦੇ ਨਾਲ ਮੇਲ ਵਿੱਚ ਰੱਖਣ ਲਈ threat models ਨੂੰ ਸੋਧਿਆ ਜਾ ਸਕਦਾ ਹੈ.
- ਮੁੱਦਿਆਂ ਨੂੰ ਤਰਜੀਹ ਦਿਓ ਅਤੇ ਵੈਲੀਡੇਟ ਕਰੋ: ਸੰਦਰਭ ਵਜੋਂ threat model ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਇਹ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਖੋਜ ਕਰਦਾ ਹੈ ਅਤੇ ਤੁਹਾਡੇ ਸਿਸਟਮ ਵਿੱਚ ਉਮੀਦ ਕੀਤੇ ਅਸਲ-ਦੁਨੀਆ ਪ੍ਰਭਾਵ ਦੇ ਆਧਾਰ 'ਤੇ ਖੋਜਾਂ ਨੂੰ ਸ਼੍ਰੇਣੀਬੱਧ ਕਰਦਾ ਹੈ। ਜਿੱਥੇ ਸੰਭਵ ਹੋਵੇ, ਇਹ sandboxed validation ਮਾਹੌਲਾਂ ਵਿੱਚ ਖੋਜਾਂ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ signal ਨੂੰ noise ਤੋਂ ਵੱਖ ਕੀਤਾ ਜਾ ਸਕੇ। ਯੂਜ਼ਰ validated findings ਵਿੱਚ ਇਹ ਵਿਸ਼ਲੇਸ਼ਣ ਦੇਖ ਸਕਦੇ ਹਨ। ਜਦੋਂ Codex Security ਤੁਹਾਡੇ ਪ੍ਰੋਜੈਕਟ ਲਈ ਤਿਆਰ ਕੀਤੇ ਮਾਹੌਲ ਨਾਲ ਸੰਰਚਿਤ ਹੁੰਦਾ ਹੈ, ਤਾਂ ਇਹ ਚੱਲਦੇ ਸਿਸਟਮ ਦੇ ਸੰਦਰਭ ਵਿੱਚ ਹੀ ਸੰਭਾਵਿਤ ਮੁੱਦਿਆਂ ਨੂੰ ਸਿੱਧੇ ਵੈਲੀਡੇਟ ਕਰ ਸਕਦਾ ਹੈ। ਇਹ ਡੂੰਘੀ ਵੈਲੀਡੇਸ਼ਨ false positives ਨੂੰ ਹੋਰ ਵੀ ਘਟਾ ਸਕਦੀ ਹੈ ਅਤੇ ਕੰਮ ਕਰਨ ਵਾਲੇ proof-of-concepts ਬਣਾਉਣ ਯੋਗ ਬਣਾ ਸਕਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਨੂੰ ਮਜ਼ਬੂਤ ਸਬੂਤ ਅਤੇ remediation ਲਈ ਵੱਧ ਸਪਸ਼ਟ ਰਾਹ ਮਿਲਦਾ ਹੈ.
- ਪੂਰੇ ਸਿਸਟਮ ਸੰਦਰਭ ਨਾਲ ਮੁੱਦਿਆਂ ਨੂੰ ਪੈਚ ਕਰੋ: ਅੰਤ ਵਿੱਚ, Codex Security ਖੋਜੀਆਂ ਗਈਆਂ ਸਮੱਸਿਆਵਾਂ ਲਈ ਅਜਿਹੇ ਹੱਲ ਸੁਝਾਉਂਦਾ ਹੈ ਜੋ ਸਿਸਟਮ ਦੇ ਉਦੇਸ਼ ਅਤੇ ਆਲੇ-ਦੁਆਲੇ ਦੇ ਵਿਹਾਰ ਨਾਲ ਮੇਲ ਖਾਂਦੇ ਹਨ। ਇਸ ਨਾਲ ਅਜਿਹੇ ਪੈਚ ਸੰਭਵ ਹੁੰਦੇ ਹਨ ਜੋ regression ਨੂੰ ਘੱਟ ਤੋਂ ਘੱਟ ਰੱਖਦੇ ਹੋਏ ਸੁਰੱਖਿਆ ਸੁਧਾਰ ਸਕਣ, ਜਿਸ ਨਾਲ ਉਹਨਾਂ ਦੀ ਸਮੀਖਿਆ ਅਤੇ ਲਾਗੂ ਕਰਨਾ ਹੋਰ ਸੁਰੱਖਿਅਤ ਬਣਦਾ ਹੈ। ਯੂਜ਼ਰ findings ਨੂੰ filter ਕਰ ਸਕਦੇ ਹਨ ਤਾਂ ਜੋ ਉਹ ਆਪਣੀ ਟੀਮ ਲਈ ਸਭ ਤੋਂ ਮਹੱਤਵਪੂਰਨ ਅਤੇ ਸਭ ਤੋਂ ਵੱਧ ਸੁਰੱਖਿਆ ਪ੍ਰਭਾਵ ਵਾਲੀਆਂ ਚੀਜ਼ਾਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦ੍ਰਿਤ ਰੱਖਣ.
Codex Security ਸਮੇਂ ਦੇ ਨਾਲ ਤੁਹਾਡੇ feedback ਤੋਂ ਵੀ ਸਿੱਖ ਸਕਦਾ ਹੈ ਤਾਂ ਜੋ ਆਪਣੀਆਂ ਖੋਜਾਂ ਦੀ ਗੁਣਵੱਤਾ ਸੁਧਾਰ ਸਕੇ। ਜਦੋਂ ਤੁਸੀਂ ਕਿਸੇ finding ਦੀ criticality ਵਿੱਚ ਤਬਦੀਲੀ ਕਰਦੇ ਹੋ, ਤਾਂ ਇਹ ਉਸ feedback ਦੀ ਵਰਤੋਂ ਕਰਕੇ threat model ਨੂੰ ਹੋਰ ਨਿਖਾਰ ਸਕਦਾ ਹੈ ਅਤੇ ਅਗਲੀਆਂ ਰਨਾਂ ਵਿੱਚ ਸ਼ੁੱਧਤਾ ਸੁਧਾਰ ਸਕਦਾ ਹੈ, ਕਿਉਂਕਿ ਇਹ ਸਿੱਖਦਾ ਹੈ ਕਿ ਤੁਹਾਡੀ architecture ਅਤੇ risk posture ਵਿੱਚ ਕੀ ਮਹੱਤਵ ਰੱਖਦਾ ਹੈ.
ਇਹ ਇਸ ਤਰ੍ਹਾਂ ਡਿਜ਼ਾਇਨ ਕੀਤਾ ਗਿਆ ਹੈ ਕਿ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਕੰਮ ਕਰੇ ਅਤੇ ਸਵੀਕਾਰ ਕਰਨ ਵਿੱਚ ਆਸਾਨ ਪੈਚਾਂ ਨਾਲ ਸਭ ਤੋਂ ਉੱਚੇ ਭਰੋਸੇ ਵਾਲੀਆਂ ਖੋਜਾਂ ਸਾਹਮਣੇ ਲਿਆਏ। ਪਿਛਲੇ 30 ਦਿਨਾਂ ਵਿੱਚ, Codex Security ਨੇ ਸਾਡੇ ਬੀਟਾ ਸਮੂਹ ਦੀਆਂ ਬਾਹਰੀ ਰਿਪੋਜ਼ਟਰੀਆਂ ਵਿੱਚ 1.2 ਮਿਲੀਅਨ ਤੋਂ ਵੱਧ commits ਸਕੈਨ ਕੀਤੀਆਂ, 792 ਨਾਜ਼ੁਕ findings ਅਤੇ 10,561 ਉੱਚ-ਗੰਭੀਰਤਾ findings ਦੀ ਪਛਾਣ ਕੀਤੀ। ਨਾਜ਼ੁਕ ਸਮੱਸਿਆਵਾਂ ਸਕੈਨ ਕੀਤੀਆਂ commits ਦੇ 0.1% ਤੋਂ ਘੱਟ ਵਿੱਚ ਦਿੱਖੀਆਂ, ਜੋ ਦਿਖਾਉਂਦਾ ਹੈ ਕਿ ਸਿਸਟਮ code ਦੀਆਂ ਵੱਡੀਆਂ ਮਾਤਰਾਂ ਵਿੱਚ ਸੁਰੱਖਿਆ-ਪ੍ਰਭਾਵਿਤ ਸਮੱਸਿਆਵਾਂ ਪਛਾਣ ਸਕਦਾ ਹੈ ਅਤੇ ਸਮੀਖਿਆਕਾਰਾਂ ਲਈ ਸ਼ੋਰ ਨੂੰ ਘੱਟ ਰੱਖਦਾ ਹੈ.
“ਉਤਪਾਦ ਸੁਰੱਖਿਆ 'ਤੇ ਬਹੁਤ ਧਿਆਨ ਕੇਂਦ੍ਰਿਤ ਕੰਪਨੀ ਵਜੋਂ, NETGEAR ਨੂੰ ਸ਼ੁਰੂਆਤੀ ਐਕਸੈੱਸ ਪ੍ਰੋਗਰਾਮ ਵਿੱਚ ਸ਼ਾਮਲ ਹੋ ਕੇ ਖੁਸ਼ੀ ਹੋਈ, ਅਤੇ ਨਤੀਜੇ ਉਮੀਦਾਂ ਤੋਂ ਵੀ ਵੱਧ ਰਹੇ। Codex Security ਸਾਡੇ ਮਜ਼ਬੂਤ ਸੁਰੱਖਿਆ ਵਿਕਾਸ ਮਾਹੌਲ ਵਿੱਚ ਬਿਨਾ ਕਿਸੇ ਰੁਕਾਵਟ ਦੇ ਸ਼ਾਮਲ ਹੋ ਗਿਆ, ਜਿਸ ਨਾਲ ਸਾਡੀਆਂ ਸਮੀਖਿਆ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਗਤੀ ਅਤੇ ਗਹਿਰਾਈ ਦੋਵੇਂ ਮਜ਼ਬੂਤ ਹੋਈਆਂ। ਇਸ ਦੀਆਂ ਖੋਜਾਂ ਬੇਹੱਦ ਸਪਸ਼ਟ ਅਤੇ ਵਿਸਤ੍ਰਿਤ ਸਨ, ਅਤੇ ਅਕਸਰ ਅਜਿਹਾ ਲੱਗਦਾ ਸੀ ਜਿਵੇਂ ਕੋਈ ਤਜਰਬੇਕਾਰ ਉਤਪਾਦ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾ ਸਾਡੇ ਨਾਲ ਮਿਲ ਕੇ ਕੰਮ ਕਰ ਰਿਹਾ ਹੋਵੇ।”
ਓਪਨ ਸੋਰਸ ਸਾਫਟਵੇਅਰ ਆਧੁਨਿਕ ਸਿਸਟਮਾਂ ਦੀ ਨੀਂਹ ਬਣਦਾ ਹੈ, ਸਾਡੇ ਆਪਣੇ ਸਿਸਟਮ ਸਮੇਤ। ਅਸੀਂ ਉਹਨਾਂ ਓਪਨ-ਸੋਰਸ ਰਿਪੋਜ਼ਟਰੀਆਂ ਨੂੰ ਸਕੈਨ ਕਰਨ ਲਈ Codex Security ਵਰਤ ਰਹੇ ਹਾਂ ਜਿਨ੍ਹਾਂ 'ਤੇ ਅਸੀਂ ਸਭ ਤੋਂ ਵੱਧ ਨਿਰਭਰ ਕਰਦੇ ਹਾਂ, ਅਤੇ ਜੋ ਉੱਚ-ਪ੍ਰਭਾਵ ਵਾਲੀਆਂ ਸੁਰੱਖਿਆ ਖੋਜਾਂ ਅਸੀਂ ਪਛਾਣਦੇ ਹਾਂ, ਉਹ ਮੈਨਟੇਨਰਾਂ ਨਾਲ ਸਾਂਝੀਆਂ ਕਰਦੇ ਹਾਂ ਤਾਂ ਜੋ ਉਸ ਨੀਂਹ ਨੂੰ ਹੋਰ ਮਜ਼ਬੂਤ ਕੀਤਾ ਜਾ ਸਕੇ.
ਮੈਨਟੇਨਰਾਂ ਨਾਲ ਸਾਡੀਆਂ ਗੱਲਬਾਤਾਂ ਵਿੱਚ ਇੱਕ ਲਗਾਤਾਰ ਥੀਮ ਸਾਹਮਣੇ ਆਈ: ਚੁਣੌਤੀ vulnerability reports ਦੀ ਘਾਟ ਨਹੀਂ, ਸਗੋਂ ਘੱਟ-ਗੁਣਵੱਤਾ ਵਾਲੀਆਂ ਬਹੁਤ ਜ਼ਿਆਦਾ ਰਿਪੋਰਟਾਂ ਹਨ। ਮੈਨਟੇਨਰਾਂ ਨੇ ਸਾਨੂੰ ਦੱਸਿਆ ਕਿ ਉਨ੍ਹਾਂ ਨੂੰ ਘੱਟ false positives ਅਤੇ ਅਜਿਹਾ ਹੋਰ ਟਿਕਾਊ ਤਰੀਕਾ ਚਾਹੀਦਾ ਹੈ ਜੋ ਬਿਨਾ ਵਾਧੂ triage ਬੋਝ ਬਣਾਏ ਅਸਲ ਸੁਰੱਖਿਆ ਮੁੱਦੇ ਸਾਹਮਣੇ ਲਿਆਵੇ। ਇਨ੍ਹਾਂ ਗੱਲਬਾਤਾਂ ਨੇ ਇਹ ਨਿਰਧਾਰਤ ਕਰਨ ਵਿੱਚ ਮਦਦ ਕੀਤੀ ਕਿ ਅਸੀਂ Codex Security ਨਾਲ ਓਪਨ ਸੋਰਸ ਭਾਈਚਾਰੇ ਦਾ ਸਮਰਥਨ ਕਿਵੇਂ ਕਰ ਰਹੇ ਹਾਂ। ਅਨੁਮਾਨਾਤਮਕ ਖੋਜਾਂ ਦੀ ਵੱਡੀ ਮਾਤਰਾ ਬਣਾਉਣ ਦੀ ਬਜਾਏ, ਅਸੀਂ ਅਜਿਹਾ ਸਿਸਟਮ ਤਿਆਰ ਕਰ ਰਹੇ ਹਾਂ ਜੋ ਉੱਚ-ਭਰੋਸੇ ਵਾਲੇ ਮੁੱਦਿਆਂ ਨੂੰ ਤਰਜੀਹ ਦਿੰਦਾ ਹੈ ਜਿਨ੍ਹਾਂ 'ਤੇ ਮੈਨਟੇਨਰ ਜਲਦੀ ਕਾਰਵਾਈ ਕਰ ਸਕਣ.
ਇਸ ਕੰਮ ਦੇ ਹਿੱਸੇ ਵਜੋਂ, ਅਸੀਂ ਕਈ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਓਪਨ-ਸੋਰਸ ਪ੍ਰੋਜੈਕਟਾਂ ਵਿੱਚ ਨਾਜ਼ੁਕ ਕਮਜ਼ੋਰੀਆਂ ਰਿਪੋਰਟ ਕੀਤੀਆਂ, ਜਿਨ੍ਹਾਂ ਵਿੱਚ OpenSSH(ਨਵੀਂ ਵਿੰਡੋ ਵਿੱਚ ਖੁੱਲ੍ਹਦਾ ਹੈ), GnuTLS(ਨਵੀਂ ਵਿੰਡੋ ਵਿੱਚ ਖੁੱਲ੍ਹਦਾ ਹੈ), GOGS(ਨਵੀਂ ਵਿੰਡੋ ਵਿੱਚ ਖੁੱਲ੍ਹਦਾ ਹੈ), Thorium(ਨਵੀਂ ਵਿੰਡੋ ਵਿੱਚ ਖੁੱਲ੍ਹਦਾ ਹੈ), libssh, PHP, ਅਤੇ Chromium ਸ਼ਾਮਲ ਹਨ। ਚੌਦਾਂ CVE ਨਿਰਧਾਰਤ ਕੀਤੇ ਜਾ ਚੁੱਕੇ ਹਨ, ਜਿਨ੍ਹਾਂ ਵਿੱਚੋਂ ਦੋ 'ਤੇ dual reporting ਹੈ — ਅਸੀਂ Appendix ਵਿੱਚ ਕੁਝ ਉਦਾਹਰਨਾਂ ਸਾਂਝੀਆਂ ਕੀਤੀਆਂ ਹਨ.
ਅਸੀਂ ਹਾਲ ਹੀ ਵਿੱਚ Codex for OSS ਵਿੱਚ ਓਪਨ-ਸੋਰਸ ਮੈਨਟੇਨਰਾਂ ਦੇ ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਸਮੂਹ ਨੂੰ onboard ਕਰਨਾ ਸ਼ੁਰੂ ਕੀਤਾ ਹੈ, ਜੋ ਇਕੋਸਿਸਟਮ ਨੂੰ ਮੁਫ਼ਤ ChatGPT Pro ਅਤੇ Plus accounts, code review, ਅਤੇ Codex Security ਨਾਲ ਸਮਰਥਨ ਦੇਣ ਲਈ ਸਾਡਾ ਪ੍ਰੋਗਰਾਮ ਹੈ। vLLM ਵਰਗੇ ਪ੍ਰੋਜੈਕਟ ਪਹਿਲਾਂ ਹੀ ਆਪਣੇ ਆਮ workflow ਦੇ ਹਿੱਸੇ ਵਜੋਂ Codex Security ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸਮੱਸਿਆਵਾਂ ਲੱਭਣ ਅਤੇ ਪੈਚ ਕਰਨ ਲਈ ਇਸਤेमाल ਕਰ ਚੁੱਕੇ ਹਨ.
ਅਸੀਂ ਆਉਣ ਵਾਲਿਆਂ ਹਫ਼ਤਿਆਂ ਵਿੱਚ ਪ੍ਰੋਗਰਾਮ ਦਾ ਵਿਸਤਾਰ ਕਰਨ ਦੀ ਯੋਜਨਾ ਬਣਾਈ ਹੈ ਤਾਂ ਜੋ ਹੋਰ ਮੈਨਟੇਨਰਾਂ ਨੂੰ ਬਿਹਤਰ ਸੁਰੱਖਿਆ, ਹੋਰ ਮਜ਼ਬੂਤ review workflows, ਅਤੇ ਉਸ ਓਪਨ-ਸੋਰਸ ਕੰਮ ਲਈ ਸਮਰਥਨ ਤੱਕ ਸਿੱਧੀ ਪਹੁੰਚ ਮਿਲੇ ਜਿਸ 'ਤੇ ਇਕੋਸਿਸਟਮ ਨਿਰਭਰ ਕਰਦਾ ਹੈ। ਜੇ ਤੁਸੀਂ ਓਪਨ-ਸੋਰਸ ਮੈਨਟੇਨਰ ਹੋ ਅਤੇ ਰੁਚੀ ਰੱਖਦੇ ਹੋ, ਤਾਂ ਕਿਰਪਾ ਕਰਕੇ ਸੰਪਰਕ ਕਰੋ.
ਅਸੀਂ ਆਉਣ ਵਾਲੇ ਦਿਨਾਂ ਵਿੱਚ ChatGPT Enterprise, Business, ਅਤੇ Edu ਗਾਹਕਾਂ ਲਈ Codex Security ਐਕਸੈੱਸ ਰੋਲਆਉਟ ਕਰਾਂਗੇ। ਆਪਣੀ ਟੀਮ ਲਈ Codex Security ਸੈਟ ਅੱਪ ਕਰਨ ਬਾਰੇ ਹੋਰ ਜਾਣਣ ਲਈ ਸਾਡੇ docs(ਨਵੀਂ ਵਿੰਡੋ ਵਿੱਚ ਖੁੱਲ੍ਹਦਾ ਹੈ) ਵੇਖੋ.
Codex Security ਵੱਲੋਂ ਖੋਜੀਆਂ ਗਈਆਂ ਉੱਚ-ਪ੍ਰਭਾਵ ਵਾਲੀਆਂ OSS ਕਮਜ਼ੋਰੀਆਂ ਦੇ ਉਦਾਹਰਨ:
- GnuTLS certtool Heap-Buffer Overflow (Off-by-One) — CVE-2025-32990(ਨਵੀਂ ਵਿੰਡੋ ਵਿੱਚ ਖੁੱਲ੍ਹਦਾ ਹੈ)
- GnuTLS Heap Buffer Overread in SCT Extension Parsing — CVE-2025-32989(ਨਵੀਂ ਵਿੰਡੋ ਵਿੱਚ ਖੁੱਲ੍ਹਦਾ ਹੈ)
- GnuTLS Double-Free in otherName SAN Export — CVE-2025-32988(ਨਵੀਂ ਵਿੰਡੋ ਵਿੱਚ ਖੁੱਲ੍ਹਦਾ ਹੈ)
- 2FA Bypass GOGS — CVE-2025-64175(ਨਵੀਂ ਵਿੰਡੋ ਵਿੱਚ ਖੁੱਲ੍ਹਦਾ ਹੈ)
- Unauth bypass GOGS — CVE-2026-25242(ਨਵੀਂ ਵਿੰਡੋ ਵਿੱਚ ਖੁੱਲ੍ਹਦਾ ਹੈ)
- Path traversal (arbitrary write) — download_ephemeral, download_children (agent) — CVE-2025-35430(ਨਵੀਂ ਵਿੰਡੋ ਵਿੱਚ ਖੁੱਲ੍ਹਦਾ ਹੈ)
- LDAP injection (filters & DN) — LdapUserMap::new / get_unix_info / basic_auth_ldap — CVE-2025-35431(ਨਵੀਂ ਵਿੰਡੋ ਵਿੱਚ ਖੁੱਲ੍ਹਦਾ ਹੈ)
- Unauthenticated DoS & mail abuse — resend_email_verification — CVE-2025-35432(ਨਵੀਂ ਵਿੰਡੋ ਵਿੱਚ ਖੁੱਲ੍ਹਦਾ ਹੈ) , CVE-2025-35436(ਨਵੀਂ ਵਿੰਡੋ ਵਿੱਚ ਖੁੱਲ੍ਹਦਾ ਹੈ)
- Password ਬਦਲਣ 'ਤੇ session rotate ਨਹੀਂ ਹੁੰਦਾ — User::update_user — CVE-2025-35433(ਨਵੀਂ ਵਿੰਡੋ ਵਿੱਚ ਖੁੱਲ੍ਹਦਾ ਹੈ)
- TLS verification ਅਯੋਗ — Elasticsearch client — CVE-2025-35434(ਨਵੀਂ ਵਿੰਡੋ ਵਿੱਚ ਖੁੱਲ੍ਹਦਾ ਹੈ)
- DoS: zero ਨਾਲ division — /api/streams/depth/.../{split} — CVE-2025-35435(ਨਵੀਂ ਵਿੰਡੋ ਵਿੱਚ ਖੁੱਲ੍ਹਦਾ ਹੈ)
- PKDECRYPT --kem=CMS (ECC KEM) ਰਾਹੀਂ gpg-agent stack buffer overflow — CVE-2026-24881(ਨਵੀਂ ਵਿੰਡੋ ਵਿੱਚ ਖੁੱਲ੍ਹਦਾ ਹੈ)
- Ciphertext length validation ਨਾ ਹੋਣ ਕਰਕੇ RSA ਅਤੇ ECC ਲਈ TPM2 PKDECRYPT ਵਿੱਚ stack-based buffer overflow — CVE-2026-24882(ਨਵੀਂ ਵਿੰਡੋ ਵਿੱਚ ਖੁੱਲ੍ਹਦਾ ਹੈ)
- CMS/PKCS7 AES-GCM ASN.1 params stack buffer overflow — CVE-2025-15467(ਨਵੀਂ ਵਿੰਡੋ ਵਿੱਚ ਖੁੱਲ੍ਹਦਾ ਹੈ)
- PKCS#12 PBMAC1 PBKDF2 keyLength overflow + MAC bypass — CVE-2025-11187(ਨਵੀਂ ਵਿੰਡੋ ਵਿੱਚ ਖੁੱਲ੍ਹਦਾ ਹੈ)
