Transcript
00:00:00AI ने कोडिंग को सभी के लिए सुलभ बना दिया है और लोगों ने बहुत ही
00:00:04तेजी से कोड शिप करना शुरू कर दिया है।
00:00:05लेकिन उससे भी तेज गति से, उन ऐप्स के अंदर सुरक्षा संबंधी समस्याएं जमा होने लगीं।
00:00:09और पिछले कुछ महीनों में, स्थिति वास्तव में और खराब हो गई है।
00:00:12ऐसे कई उदाहरण सामने आए हैं जब किसी एजेंट ने किसी का पूरा प्रोजेक्ट ही डिलीट कर दिया।
00:00:16एक अन्य एजेंट ने पूरे प्रोडक्शन डेटाबेस को डिलीट कर दिया जबकि डेवलपर
00:00:20किसी पूरी तरह से असंबंधित चीज़ पर काम कर रहा था।
00:00:22और Apple की इंटरनल Clod.md लीक होने जैसी कई समान समस्याएं सामने आई हैं।
00:00:26इसलिए ऐसे टूलिंग जो वास्तव में इन समस्याओं को पकड़ सकें, अब पहले से कहीं अधिक मायने रखते हैं।
00:00:30इन बढ़ती समस्याओं को देखते हुए, Vercel ने AI-जनरेटेड एप्लिकेशंस में उल्लंघन का पता लगाने के लिए
00:00:35DeepSec नामक एक सुरक्षा हार्नेस जारी किया है।
00:00:37अब आप सोच सकते हैं कि Clod code अपने एजेंटों के साथ पहले से ही सुरक्षा समीक्षा खुद कर सकता है।
00:00:42तो आपको पहली बार में ही DeepSec की आवश्यकता क्यों होगी?
00:00:44ऐसा इसलिए है क्योंकि DeepSec एक संरचित टूल है जो समीक्षाओं को बहुत अधिक व्यवस्थित तरीके से संभालता है।
00:00:49अंदरूनी तौर पर, यह Clod code और Codex जैसे कोडिंग एजेंटों का उपयोग कर रहा है।
00:00:52यह टूल बड़े रिपॉजिटरी को स्कैन करने के लिए डिज़ाइन किया गया है क्योंकि यह एक समानांतर डिज़ाइन का समर्थन करता है जो
00:00:57वर्कफ़्लो को तेज़ करता है और कोड को कई समूहों में बैच करता है, जो इसे
00:01:01बड़े कोड बेस की समीक्षा करने के लिए एकदम सही बनाता है।
00:01:03अब इसे लागत-प्रभावशीलता को ध्यान में रखकर नहीं बनाया गया है।
00:01:06वे Clod code और Codex के सबसे शक्तिशाली मॉडल का उपयोग कर रहे हैं, जो
00:01:10मैक्स एफर्ट पर Opus 4.7 और x हाई रीजनिंग पर GPT 5.5 हैं, जो दोनों बहुत अधिक टोकन की खपत करते हैं।
00:01:16और उनके समानांतर चलने से, टोकन का उपयोग तेज़ी से बढ़ता है, जिससे लागत बढ़ जाती है।
00:01:20कई ज्ञात ऐप्स ने पहले ही अपने कोड बेस पर इस हार्नेस को चलाया है और अच्छे परिणामों की सूचना दी है।
00:01:25उनके द्वारा किए गए परीक्षण में, इस टूल की फॉल्स पॉजिटिव दर लगभग 10-20% है।
00:01:30यह संख्या महत्वपूर्ण है क्योंकि आमतौर पर LLM की सटीकता ऐसी ही होती है।
00:01:33इसके विपरीत, इसका मतलब है कि एजेंट अधिकांश समय सही होता है और इसके
00:01:37ट्रू पॉजिटिव हाई होते हैं।
00:01:38इसके पीछे का आर्किटेक्चर ही इसे अलग बनाता है।
00:01:40यदि आप Clod code या किसी एजेंट से सुरक्षा समीक्षा के लिए कहते हैं, तो वह सीधे
00:01:45कोड बेस को स्कैन करना शुरू कर देगा और फिर एक पूरी समीक्षा रिपोर्ट तैयार करेगा।
00:01:48इसमें न केवल बहुत समय लगता है, बल्कि यह बहुत अधिक टोकन भी खर्च करता है और समीक्षा
00:01:52अभी भी कुछ चीज़ों को छोड़ सकती है।
00:01:53इसलिए इस वर्कफ़्लो का पहला हिस्सा स्कैनिंग है, जो सभी फ़ाइलों का केवल RegEx-ओनली स्कैन करता है ताकि
00:01:58उन सुरक्षा-संवेदनशील क्षेत्रों की पहचान की जा सके जिन पर अगले चरण केंद्रित होंगे।
00:02:01RegEx डिटेक्शन यहाँ इसलिए मायने रखता है क्योंकि यह टूल बड़े कोड बेस के लिए डिज़ाइन किया गया है जहाँ
00:02:06आसानी से हज़ारों फ़ाइलें हो सकती हैं।
00:02:08RegEx मिलान कोड पैटर्न की एक श्रृंखला है जो ज्ञात क्षेत्रों से मेल खाती है जहाँ सुरक्षा
00:02:13कमियां होने की संभावना होती है और फिर बड़े पूल से उन फ़ाइलों को फ़िल्टर कर देती है।
00:02:16एक बार जब फ़ाइलों के बड़े पूल को फ़िल्टर कर दिया जाता है, तो अगला कदम एजेंट का उपयोग करके जांच करना है।
00:02:21एजेंट महंगा हिस्सा है जो बहुत सारे टोकन की खपत करता है और आमतौर पर
00:02:25आपका कोड बेस वास्तव में कितना बड़ा है, इसके आधार पर लंबा समय लेता है।
00:02:28इसलिए यह टूल सभी फ़ाइलों को बैचों में विभाजित करता है और उन्हें समानांतर करता है ताकि उन्हें
00:02:32एक ही समय में प्रोसेस किया जा सके।
00:02:34एक बार जब वह प्रक्रिया पूरी हो जाती है, तो पुनर्मूल्यांकन का एक और चरण होता है जहाँ जांच की
00:02:37दोबारा जांच की जाती है ताकि फॉल्स पॉजिटिव को क्रॉस-चेक किया जा सके।
00:02:40यदि कुछ छूट गया हो, तो यह उसे पकड़ लेता है और सुनिश्चित करता है कि वर्गीकरण
00:02:45सही ढंग से किया गया है।
00:02:46यह पुनर्मूल्यांकन वास्तव में वैकल्पिक है।
00:02:47उसके बाद, एजेंट Git मेटाडेटा और अन्य स्रोतों का उपयोग यह पहचानने के लिए करता है कि
00:02:51किन मुद्दों के लिए कौन से लोग जिम्मेदार हैं।
00:02:53एक बार जब यह सब हो जाता है, तो निष्कर्षों को मार्कडाउन या JSON के रूप में संग्रहीत किया जाता है ताकि उन्हें
00:02:57इंसानों के साथ-साथ कोडिंग एजेंटों के लिए भी टिकटों में बदला जा सके।
00:03:01जैसा कि पहले उल्लेख किया गया है, फ़ाइलों को बैचों में समूहीकृत किया जाता है और प्रति बैच
00:03:05लगभग 5 फ़ाइलों को एक साथ प्रोसेस किया जाता है।
00:03:06प्रत्येक बैच के लिए, पहचाने गए फ्रेमवर्क के आधार पर अन्य प्रोजेक्ट जानकारी के साथ
00:03:11एक नया प्रॉम्प्ट तैयार किया जाता है।
00:03:12फिर इनका विश्लेषण Claude Agent SDK या Codex Agent SDK द्वारा किया जाता है, जिसे भी आपने कॉन्फ़िगर किया है
00:03:17और उन्हें यह समझने के लिए रीड-ओनली एक्सेस वाले टूल दिए जाते हैं कि कोड बेस में क्या है।
00:03:22एक बार जब उनके पास निष्कर्ष आ जाते हैं, तो सब कुछ एक ही फ़ाइल में मर्ज कर दिया जाता है जिसे
00:03:26डीडुप्लिकेट और नॉर्मलाइज किया जाता है।
00:03:27अंत में, यह सुनिश्चित करने के लिए एक फॉलो-अप कदम है कि विश्लेषण ने वास्तव में सब कुछ कवर किया है।
00:03:31यह आर्किटेक्चर इसकी व्यवस्थित प्रक्रिया और संरचित विश्लेषण विधि के कारण इसे प्रभावी बनाता है
00:03:36और यह हार्नेस के बिना की तुलना में समस्याओं की पहचान कहीं बेहतर तरीके से करने में मदद करता है।
00:03:41तो इसे जांचने के लिए, हमने एक ओपन सोर्स प्रोजेक्ट का उपयोग किया जो एक वेब एप्लिकेशन है जिसमें
00:03:45सिर्फ अभ्यास के लिए बिल्ट-इन सुरक्षा जोखिम शामिल हैं।
00:03:47हम यह देखना चाहते थे कि क्या यह टूल इस रिपॉजिटरी के सभी मुद्दों का
00:03:52अपने आप पता लगाने में सक्षम था।
00:03:53इस प्रोजेक्ट में 10 सुरक्षा मुद्दे हैं जिनकी सभी जानकारी सीधे कोड में ही
00:03:56उपलब्ध है, जिसमें उन्हें हटाने का तरीका भी शामिल है।
00:03:58तो deepsec चलाने के लिए, आप सबसे पहले deepsec init कमांड चलाते हैं जो डिपेंडेंसी इंस्टॉल करता है
00:04:03और एक .deepsec फ़ोल्डर बनाता है और फिर आप उस फ़ोल्डर के अंदर डिपेंडेंसी इंस्टॉल करते हैं।
00:04:08यह आपको एक प्रॉम्प्ट भी देता है जिसे आपको उस कोडिंग एजेंट में पेस्ट करना होता है जिसका आप उपयोग करते हैं।
00:04:12चूंकि हम claud code का उपयोग कर रहे थे, हमने उस प्रॉम्प्ट को claud में चलाया जिसमें एक छोटी
00:04:16info.md फ़ाइल बनाने के निर्देश हैं जिसमें प्रोजेक्ट की सभी जानकारी शामिल है और जो
00:04:21एक विशिष्ट टेम्पलेट के आसपास बनाई गई है।
00:04:23आपको यह कमांड प्रोजेक्ट फ़ोल्डर में ही चलाने की आवश्यकता नहीं है, आप इसे .deepsec
00:04:27फ़ोल्डर में चलाते हैं क्योंकि यह एजेंट को पिछली डायरेक्टरी में देखने और उससे
00:04:31सारी जानकारी पढ़ने का निर्देश देता है।
00:04:32info.md फ़ाइल में इस बात का सामान्य ओवरव्यू होता है कि कोड बेस क्या करता है और
00:04:37ऑथेंटिकेशन फ्लो कैसा दिखता है, साथ ही थ्रेट मॉडल, प्रोजेक्ट स्पेसिफिक पैटर्न और कोड के अंदर
00:04:42सभी ज्ञात फॉल्स पॉजिटिव की जानकारी होती है।
00:04:44तो एक बार जब यह फ़ाइल बन जाती है, तो अगला काम deepsec scan कमांड चलाना है।
00:04:48यह कमांड वही रिगेक्स मैचर है जिसके बारे में हमने पहले बात की थी और यह सभी मेल खाने वाले
00:04:52एंडपॉइंट्स को ढूंढता है और संभावित सुरक्षा मुद्दों वाली सभी फ़िल्टर की गई फ़ाइलों को सूचीबद्ध करता है।
00:04:57यह हिस्सा तेजी से होता है क्योंकि यह केवल कोड का एक्शन में काम करना है।
00:05:00अगला कदम deepsec process कमांड चलाना है।
00:05:02आप अपनी पसंद के मॉडल की कोई भी API की स्पेसिफाई कर सकते हैं, चाहे वह Vercel API गेटवे हो,
00:05:07codex हो या claud हो, इसे .env.local फ़ाइल के अंदर डालें।
00:05:11लेकिन यदि आप ऐसा नहीं करते हैं, जैसा कि हमने नहीं किया, तो यह स्वचालित रूप से claud code सब्सक्रिप्शन
00:05:16पर डिफॉल्ट हो जाता है और किसी API की की आवश्यकता के बजाय आपके ऑथेंटिकेशन का उपयोग करता है।
00:05:19यह प्रोजेक्ट को बैचों में विभाजित करता है और प्रत्येक पर कई टूल को कॉल करता है।
00:05:23प्रत्येक बैच के बाद, यह सारांश देता है कि कितने टोकन का उपयोग किया गया था और
00:05:27अनुमानित लागत क्या थी।
00:05:28अब, यदि आप सब्सक्रिप्शन का उपयोग कर रहे हैं, तो यह आपके सब्सक्रिप्शन से अधिक
00:05:32कुछ भी चार्ज नहीं करेगा लेकिन फिर भी यह API लागत का अनुमान प्रदान करता है।
00:05:35चूंकि यह बड़े कोडबेस समीक्षाओं के लिए डिज़ाइन किया गया है, इसलिए यह विश्वसनीयता को ध्यान में रखता है।
00:05:39इसलिए समीक्षा के दौरान कोई त्रुटि होने पर, यह सब कुछ शुरू से
00:05:43दोबारा शुरू नहीं करता है और इसके बजाय उस बिंदु से जारी रहता है जहाँ त्रुटि हुई थी।
00:05:46स्कैन पूरा होने के बाद, आप deepsec report कमांड चलाते हैं और यह JSON और
00:05:50मार्कडाउन दोनों फॉर्मेट में एक रिपोर्ट तैयार करता है जिसमें गंभीरता स्तर के आधार पर वर्गीकृत
00:05:55सभी निष्कर्षों का एक सामान्य ओवरव्यू होता है।
00:05:56अब, एक बार यह रिपोर्ट तैयार हो जाने के बाद, आप पुनर्मूल्यांकन चरण चला सकते हैं।
00:06:00यह चरण पूरी तरह से वैकल्पिक है।
00:06:02आप इसे अपनी इच्छानुसार चला सकते हैं या पूरी तरह से छोड़ सकते हैं।
00:06:04एक बार जब आप इसे चलाते हैं, तो यह जांचने के लिए निष्कर्षों को मान्य करता है कि
00:06:08रिपोर्ट्स फॉल्स पॉजिटिव हैं या नहीं।
00:06:09उसके बाद, आप export कमांड का उपयोग करके सब कुछ एक्सपोर्ट कर सकते हैं और यह
00:06:13निष्कर्षों को findings फ़ोल्डर में लिख देगा।
00:06:15इस findings फ़ोल्डर में फ़ोल्डर नाम के रूप में प्राथमिकता के अनुसार क्रमित मुद्दे होते हैं और
00:06:20प्रत्येक पहचाने गए मुद्दे के लिए एक फ़ाइल बनाता है।
00:06:22यह सबसे पहले मुद्दे के स्रोत यानी सटीक फ़ाइल और मुद्दे का कारण बनने वाली लाइनों को सूचीबद्ध करता है,
00:06:26मुद्दा कितना गंभीर है और मॉडल इसे पहचानने में कितना आश्वस्त था।
00:06:30यह यह भी बताता है कि किस कमिट ने मुद्दे को पेश किया और उसे कमिट करने वाले यूजर को असाइन करता है।
00:06:34फिर यह अनुशंसित समाधान बताता है, पुनर्मूल्यांकन परिणामों को सूचीबद्ध करता है और उन सभी
00:06:39मुद्दों का उल्लेख करता है जिन्हें स्पष्ट रूप से संबोधित किया गया था।
00:06:41इसमें निष्कर्षों के अंदर बग्स को फिर से उत्पन्न करने के चरण भी शामिल हैं।
00:06:44लेकिन इस रिपोर्ट ने अभी भी सभी मुद्दों की पहचान नहीं की, भले ही ट्यूटोरियल
00:06:48वास्तव में कोड के अंदर ही था और इसे उन्हें पहचानने में सक्षम होना चाहिए था।
00:06:52इसलिए हमने Claude के साथ इस पर विचार किया कि मूल भेद्यता वाले सबक जो डिज़ाइन द्वारा
00:06:56ऐप में बंडल किए गए थे, उनकी पहचान क्यों नहीं की गई।
00:06:59Claude के साथ विचार-विमर्श करने पर, हमने पाया कि इस टूल द्वारा केवल 3 निष्कर्षों की रिपोर्ट करने का कारण
00:07:03info.md फ़ाइल में एक स्पष्ट उल्लेख था।
00:07:07DeepSec ने एक ऐसे ऐप की उम्मीद की थी जहाँ 10 कमजोरियाँ पहले से ही ज्ञात हैं और इसने केवल
00:07:12उनके अलावा अन्य मुद्दों पर ध्यान केंद्रित किया क्योंकि वे पहले से ही ज्ञात थे, जिसका अर्थ है कि यह वास्तव में
00:07:16जो पहले से ज्ञात था उससे आगे जाने की कोशिश कर रहा था और केवल अन्य पैटर्न पर ध्यान केंद्रित कर रहा था ताकि
00:07:21स्कैन बहुत अधिक प्रभावी हो जाए और उन मुद्दों पर समय और टोकन बर्बाद न हो जो पहले से प्रलेखित हैं।
00:07:25फिर हमने यह देखने के लिए एक और ऐप का परीक्षण किया कि क्या इस बार इसने बेहतर प्रदर्शन किया।
00:07:28हमने स्कैन से लेकर प्रोसेसिंग स्टेज तक वही कदम उठाए।
00:07:32हमने पुनर्मूल्यांकन वाला हिस्सा नहीं चलाया, हमने बस रिपोर्ट बनाई और उसे सीधे एक्सपोर्ट कर दिया।
00:07:36और इस बार Claude की info.md फ़ाइल में केवल ऐप के बारे में विवरण था और इसमें पिछले वाले
00:07:42जैसे बयान शामिल नहीं थे।
00:07:43इसके साथ ही, हमने Claude से कोड की समीक्षा करने और एक report.md फ़ाइल लिखने के लिए भी कहा जिसमें एक
00:07:48पूर्ण सुरक्षा समीक्षा हो ताकि हम तुलना कर सकें कि किसने वास्तव में बेहतर प्रदर्शन किया।
00:07:52तो DeepSec द्वारा बनाई गई रिपोर्ट में विभिन्न गंभीरता स्तरों के साथ कई बग मिले।
00:07:56इसे 9 मुद्दे मिले और इसने उन्हें ठीक करने के तरीके पर अनुशंसित चरणों के साथ एक विस्तृत रिपोर्ट बनाई।
00:08:01और ये अनुशंसित चरण वही हैं जो अधिकांश अन्य रिपोर्टों में नहीं होते हैं क्योंकि यही
00:08:02एजेंट को यह समझने में मदद करता है कि समस्या को कैसे ठीक किया जाए, जिससे डिबगिंग बहुत आसान हो जाती है।
00:08:05लेकिन हमने देखा कि Claude की रिपोर्ट बहुत अधिक विस्तृत थी और उसमें 39 मुद्दों पर प्रकाश डाला गया था।
00:08:09इसलिए हमने इसे पहले एक डिफ (diff) बनाने के लिए कहा।
00:08:13डिफ ने दिखाया कि Claude की संख्या बड़ी थी।
00:08:15लेकिन हमने Codex के साथ अपने परीक्षण के दौरान इसे पहले ही देख लिया था।
00:08:18Claude रास्ते में कार्यक्षेत्र (scope) के अलावा अन्य मुद्दों को भी पहचानने लगता है।
00:08:20यह केवल उन स्कोप्ड मुद्दों पर ध्यान केंद्रित नहीं करता है जिनके लिए DeepSec को विशेष रूप से डिज़ाइन किया गया था।
00:08:24इसलिए एक बार जब हमने इसे केवल स्कोप पर ध्यान केंद्रित करने के लिए कहा, तो इसने निष्कर्षों को घटाकर 13 मुद्दों तक सीमित कर दिया।
00:08:29लेकिन अभी भी कुछ मुद्दे थे जिन्हें DeepSec ने मिस कर दिया था जो Claude की रिपोर्ट में पहचाने गए थे।
00:08:34DeepSec द्वारा कुछ निष्कर्षों को मिस करने का कारण यह है कि यह केवल उन मुद्दों पर ध्यान केंद्रित करता है जो
00:08:38कोड में सीधे मौजूद होते हैं और जिन्हें सीधे फ़ंक्शंस से ही हल किया जा सकता है।
00:08:43यह उन मुद्दों की पहचान नहीं करता है जो ऐप के वास्तव में चलने पर उत्पन्न हो सकते हैं, जैसे कोर्स (CORS) संबंधित
00:08:47समस्याएं।
00:08:52यह वास्तव में लॉजिकल पैटर्न और आर्किटेक्चरल निर्णयों पर भी ध्यान केंद्रित नहीं करता है।
00:08:53जैसा कि हमने पहले उल्लेख किया है, यह फ़ाइलों को पहले फ़िल्टर करने के लिए RegEx का उपयोग करता है।
00:08:57इसलिए यह मुख्य रूप से उस पर ध्यान केंद्रित करता है जो कोड में स्पष्ट रूप से मौजूद है न कि उन मुद्दों पर जो
00:09:01एप्लिकेशन चलते समय गतिशील रूप से हो सकते हैं।
00:09:05इसके अलावा, यदि आप हमारे कंटेंट का आनंद ले रहे हैं, तो हाइप बटन दबाने पर विचार करें क्योंकि यह हमें
00:09:08इस तरह के और कंटेंट बनाने और अधिक लोगों तक पहुंचने में मदद करता है।
00:09:12अब इन चरणों को एक-एक करके अपने आप चलाने के बजाय, हमने यह DeepSec स्किल बनाई है
00:09:15जिसमें Vercel के सुरक्षा स्कैनर का शुरू से अंत तक उपयोग करने के सभी निर्देश शामिल हैं
00:09:20और इसे उपयोगकर्ता के प्रॉम्प्ट से कैसे पहचानना चाहिए कि क्या पूछा जा रहा है।
00:09:24फिर यह पूरी स्टेप-बाय-स्टेप प्रक्रिया का पालन करता है और पूरे हार्नेस को अपने आप मैनेज करता है।
00:09:28यह कई एसेट्स, इवल्स और सभी मुद्दों के संदर्भों के साथ-साथ
00:09:32कई स्क्रिप्ट्स के साथ बंडल किया गया है जो वास्तव में वर्किंग सॉल्यूशन और इस
00:09:37रिपॉजिटरी के समग्र कामकाज में मदद कर सकती हैं।
00:09:42तो इसके साथ, आप बस इस सुरक्षा स्कैन को चला सकते हैं और निर्दिष्ट कर सकते हैं कि आप किस मॉडल का उपयोग करना
00:09:43चाहते हैं और यह सीधे आपके लिए सब कुछ संभाल लेगा।
00:09:47यह उन सभी चरणों से गुजरेगा जो हमने पहले देखे थे और साथ ही उन मुद्दों को भी संबोधित करेगा जिन्हें इसने पहले
00:09:50मिस कर दिया था और DeepSec की क्षमताओं को मिलाकर एक बेहतर सुरक्षा समीक्षा करने में सक्षम होगा
00:09:54और साथ ही इसके निष्कर्षों में कमियों को भी कवर करेगा।
00:09:59अब यह स्किल सभी संसाधनों के साथ इस वीडियो के लिए AI Labs Pro में पाई जा सकती है और
00:10:02हमारे सभी पिछले वीडियो के लिए भी, जहाँ से आप इसे अपने प्रोजेक्ट्स के लिए डाउनलोड और उपयोग कर सकते हैं।
00:10:07यदि आपको हमारे काम में वैल्यू मिली है और आप चैनल को सपोर्ट करना चाहते हैं, तो यह
00:10:11ऐसा करने का सबसे अच्छा तरीका है।
00:10:15लिंक डिस्क्रिप्शन में है।
00:10:16वह हमें इस वीडियो के अंत तक ले आता है।
00:10:17यदि आप चैनल को सपोर्ट करना चाहते हैं और हमें इस तरह के वीडियो बनाते रहने में मदद करना चाहते हैं, तो आप
00:10:19नीचे दिए गए सुपर थैंक्स बटन का उपयोग करके ऐसा कर सकते हैं।
00:10:23हमेशा की तरह, देखने के लिए धन्यवाद और मैं आपसे अगले वीडियो में मिलूंगा।
00:10:25हमेशा की तरह, देखने के लिए धन्यवाद और मैं आपसे अगले वीडियो में मिलूंगा।
Community Posts
No posts yet. Be the first to write about this video!
Write about this video