OpenAI
Тази страница е машинно преведена. Вижте оригиналната статия на английски език.

Сигурност на Codex

Актуализирано: 10 days ago

Codex Security е изследователски предварителен преглед, достъпен за потребители на ChatGPT Enterprise, Edu, Business и Pro. Той помага на екипите да идентифицират, валидират и отстраняват уязвимости в кода. Проектиран е да работи повече като изследовател по сигурността, отколкото като традиционен скенер: чете код, изпълнява тестове, проучва реалистични пътища за атака и предлага пачове, които екипите могат да прегледат в обичайния си работен процес.

Общ преглед

Днес Codex Security се свързва директно с хранилища в GitHub. След като активирате хранилище, той изгражда модел на заплахите, специфичен за кодовата база, сканира историята на хранилището, валидира потенциални уязвимости в изолирана среда и показва предложени корекции за преглед от човек.

Codex Security е изграден около три етапа: идентифициране, валидиране и отстраняване. По време на идентифицирането той анализира хранилището и проучва реалистични пътища за атака. По време на валидирането той се опитва да възпроизведе всеки проблем, за да потвърди, че е реален. По време на отстраняването той генерира конкретен пач, който екипите могат да прегледат и да превърнат в искане за предложения.

Как работи Codex Security

Когато Codex Security се свърже с хранилище, той сканира комитите в обратен хронологичен ред и изгражда модел на заплахите, специфичен за кодовата база. Този модел обхваща входни точки за нападатели, граници на доверие, чувствителни данни и пътища в кода с висок ефект, които Codex използва, за да фокусира анализа върху реалистични сценарии за атака. Екипите могат да преглеждат и редактират модела на заплахите, така че той да отразява реалните им допускания за внедряване.

Codex Security следва работен процес за отстраняване със затворен цикъл:

  1. Сканиране на хранилището: Codex се свързва с вашето хранилище в GitHub, анализира кодовата база и изгражда модел на заплахите от хранилището и историята на комитите.

  2. Откриване на уязвимости: Използвайки този модел на заплахите, Codex проучва реалистични пътища в кода и идентифицира потенциални уязвимости.

  3. Валидиране в пясъчник: Codex изпълнява автоматизиран валидатор в изолирана среда, за да възпроизведе проблема, да запише подробности за изпълнението и да потвърди възможността за експлоатация, преди да покаже находката.

  4. Генериране на пач: За валидирани уязвимости Codex създава предложение за минимален пач, който отстранява първопричината.

  5. Преглед от човек и искане за предложения: Пачът не променя автоматично вашия код. Той се показва за преглед от човек и може да бъде превърнат в искане за предложения за вашия обичаен работен процес.

  6. Повторно валидиране след отстраняване: След като потвърден проблем бъде поправен и слят, Codex може повторно да валидира корекцията, затваряйки цикъла от откриването до отстраняването.

За всяка находка Codex Security може да създаде анализ на пътя за атака, който показва как вход, контролиран от нападател, може да се придвижи от входна точка до чувствителен резултат. Той оценява този път според вероятността и въздействието и прави видими основните допускания, което помага на екипите да приоритизират реалистичните рискове пред изолираните сигнали.

Преди да покаже находка, Codex Security се опитва да я възпроизведе в изолирана среда. Валидаторът записва резултатите от възпроизвеждането, подробности за изпълнението и артефакти за доказване на концепцията, така че екипите да могат да се фокусират върху находки, за които действително е показано, че работят.

За валидирани находки Codex Security предлага минимален пач, който отстранява първопричината. Той не променя автоматично вашия код. Вместо това пачът се показва за преглед от човек и може да бъде превърнат в искане за предложения във вашия съществуващ работен процес.

Първи стъпки

  1. Отидете на Codex Security.

  2. Свържете и активирайте хранилищата в GitHub, които искате Codex Security да сканира.

  3. Изчакайте първоначалното сканиране да приключи. Codex Security първо изгражда модел на заплахите за проекта и сканира историята на хранилището за съществуващи уязвимости. Това може да отнеме повече време при големи проекти. Сканиранията на нов код са по-бързи.

  4. Прегледайте находките, подробностите за валидирането и предложените пачове.

Контроли за достъп според роли (RBAC)

За работни пространства Enterprise и Edu администраторите могат да управляват достъпа до Codex Security в разрешенията на работното пространство. Codex Security изисква за работното пространство да са активирани достъпът до Codex Cloud и достъпът до Codex Security. Достъпът може също да бъде ограничен до конкретни роли или групи чрез RBAC, включително групи, синхронизирани чрез SCIM. За да позволите на членовете да управляват конфигурациите за сканиране на Codex Security, активирайте и администраторското разрешение за Codex Security за съответната роля или група.

За да актуализирате разрешенията на вашето работно пространство:

  1. В ChatGPT изберете иконата на профила си, след което изберете Настройки на работното пространство > Разрешения, за да отворите разрешенията на работното пространство.

  2. Превъртете надолу до Codex Cloud.

  3. Уверете се, че достъпът до Codex Cloud е активиран.

  4. Активирайте или деактивирайте достъпа, като превключите Разрешаване на членовете да използват Codex Security.

  5. Ако ролята или групата трябва да управлява конфигурации за сканиране, активирайте и Разрешаване на членовете да администрират Codex Security.

Научете повече за контролите за достъп според роли във вашето работно пространство в ChatGPT.

Най-добри практики

  • Започнете с малък набор от хранилища и специална група от проверяващи. Препоръчваме първоначално фокусирано внедряване, особено докато въвеждането и споделянето на уязвимости все още са сравнително ръчни процеси.

  • Усъвършенствайте модела на заплахите, докато учите. Малките актуализации на модела могат да подобрят контекста и с времето да направят находките по-точни.

  • Ако днес не използвате GitHub Cloud, обмислете да започнете с хранилища с по-нисък риск или извън продукционна среда за оценка. Това може да помогне на екипите да изградят увереност в работния процес преди по-широко възприемане.

  • Преглеждайте генерираните PRs за пачове чрез обичайния си процес за преглед. Препоръчваме също да използвате Codex Code Review за PRs на Codex Security, така че отстраняването да не въвежда регресии.

ЧЗВ

Codex Security променя ли автоматично моя код?

Не. Codex Security предлага пач за преглед от човек. Това предложение може да бъде превърнато в искане за предложения, но не променя автоматично вашия код.

Codex Security разчита ли на фъзинг или сканиране, базирано на сигнатури?

Не. Codex Security използва структурирано анализиране с езиков модел, изчисления по време на тестване, използване на инструменти и голям контекст, вместо фъзинг или сканиране, базирано на сигнатури.

Мога ли да преглеждам или редактирам модела на заплахите?

Да. Моделът на заплахите е видим и редактируем, така че екипите могат да проверят как Codex Security разбира приложението и да актуализират допусканията, за да съответстват на тяхната среда.

Какво означава валидиране?

Валидирането е стъпката, при която Codex Security се опитва да възпроизведе потенциална уязвимост в изолирана среда, преди да я покаже. Целта е да се намалят фалшивите положителни резултати и находките да останат с висока стойност.

Какво се случва, след като дадена находка бъде валидирана?

След валидирането Codex Security предлага пач, който отстранява първопричината и може да бъде превърнат в искане за предложения за преглед.

Беше ли Ви полезна тази статия?