OpenAI
Тази страница е машинно преведена. Вижте оригиналната статия на английски език.

Сигурност на Codex

Актуализирано: 8 days ago

Codex Security е изследователски предварителен преглед, който помага на екипите да откриват, потвърждават и отстраняват уязвимости в кода. Създаден е да работи по-скоро като изследовател по сигурността, отколкото като традиционен скенер: чете код, изпълнява тестове, проучва реалистични пътища за атака и предлага корекции, които екипите могат да прегледат в обичайния си работен процес.

Общ преглед

Днес Codex Security се свързва директно с хранилища в GitHub. След като активирате дадено хранилище, той изгражда специфичен за кодовата база модел на заплахите, сканира историята на хранилището, потвърждава потенциални уязвимости в изолирана среда и показва предложени корекции за човешки преглед.

Codex Security е изграден около три етапа: идентифициране, потвърждаване и отстраняване. По време на идентифицирането той анализира хранилището и проучва реалистични пътища за атака. По време на потвърждаването се опитва да възпроизведе всеки проблем, за да потвърди, че е реален. По време на отстраняването генерира конкретна корекция, която екипите могат да прегледат и да превърнат в pull request.

Как работи Codex Security

Когато Codex Security се свърже с хранилище, той сканира commit-ите в обратен хронологичен ред и изгражда специфичен за кодовата база модел на заплахите. Този модел улавя входните точки за атакуващия, границите на доверие, чувствителните данни и критичните кодови пътища, които Codex използва, за да фокусира анализа върху реалистични сценарии за атака. Екипите могат да преглеждат и редактират модела на заплахите, така че той да отразява реалните им предположения за внедряване.

Codex Security следва затворен работен процес за отстраняване:

  1. Сканиране на хранилището: Codex се свързва с вашето хранилище в GitHub, анализира кодовата база и изгражда модел на заплахите от хранилището и историята на commit-ите.

  2. Откриване на уязвимости: Използвайки този модел на заплахите, Codex проучва реалистични кодови пътища и идентифицира потенциални уязвимости.

  3. Потвърждаване в пясъчник: Codex изпълнява автоматизиран валидатор в изолирана среда, за да възпроизведе проблема, да улови подробности за изпълнението и да потвърди възможността за експлоатация, преди да покаже находката.

  4. Генериране на корекция: За потвърдени уязвимости Codex създава предложение за минимална корекция, която адресира първопричината.

  5. Човешки преглед и pull request: Корекцията не променя автоматично вашия код. Тя се показва за човешки преглед и може да бъде превърната в pull request за обичайния ви работен процес.

  6. Повторно потвърждаване след отстраняване: След като потвърден проблем бъде коригиран и обединен, Codex може да потвърди повторно поправката, затваряйки цикъла от откриване до отстраняване.

За всяка находка Codex Security може да създаде анализ на пътя на атаката, който показва как вход, контролиран от атакуващия, може да се придвижи от входна точка до чувствителен резултат. Той оценява този път според вероятността и въздействието и прави видими лежащите в основата предположения, което помага на екипите да приоритизират реалистичните рискове пред изолирани сигнали.

Преди да покаже находка, Codex Security се опитва да я възпроизведе в изолирана среда. Валидаторът записва резултатите от възпроизвеждането, подробности за изпълнението и proof-of-concept артефакти, за да могат екипите да се фокусират върху находки, за които действително е показано, че работят.

За потвърдени находки Codex Security предлага минимална корекция, която адресира първопричината. Той не променя автоматично вашия код. Вместо това корекцията се показва за човешки преглед и може да бъде превърната в pull request в съществуващия ви работен процес.

Първи стъпки

  1. Отидете на chatgpt.com/codex/security.

  2. Свържете и активирайте хранилищата в GitHub, които искате Codex Security да сканира.

  3. Изчакайте първоначалното сканиране да завърши. Codex Security първо изгражда модел на заплахите за проекта и сканира историята на хранилището за съществуващи уязвимости. Това може да отнеме повече време при големи проекти. Сканиранията на нов код са по-бързи.

  4. Прегледайте находките, подробностите по потвърждаването и предложените корекции.

Контрол на достъпа, базиран на роли (RBAC)

За Enterprise и Edu работни пространства администраторите могат да управляват достъпа до Codex Security в разрешенията на работното пространство. Codex Security изисква за работното пространство да са активирани както достъпът до Codex Cloud, така и достъпът до Codex Security. Достъпът може също да бъде ограничен до конкретни роли или групи чрез RBAC, включително групи, синхронизирани чрез SCIM. За да позволите на членовете да управляват конфигурациите за сканиране на Codex Security, активирайте и разрешението за администратор на Codex Security за съответната роля или група.

За да актуализирате разрешенията на работното си пространство:

  1. В ChatGPT щракнете върху иконата на профила си и изберете Workspace Settings -> Permissions, за да отидете на страницата за разрешения на работното пространство.

  2. Превъртете надолу до Codex Cloud.

  3. Уверете се, че достъпът до Codex Cloud е активиран.

  4. Активирайте или деактивирайте достъпа, като превключите Allow members to use Codex Security.

  5. Ако ролята или групата трябва да управлява конфигурациите за сканиране, активирайте и Allow members to administer Codex Security.

Научете повече за контрола на достъпа, базиран на роли, във вашето работно пространство в ChatGPT.

Добри практики

  • Започнете с малък набор от хранилища и специализирана група преглеждащи. Препоръчваме в началото внедряването да е фокусирано, особено докато въвеждането и споделянето на уязвимости все още са относително ръчни.

  • Усъвършенствайте модела на заплахите с натрупването на опит. Малки актуализации на модела могат да подобрят контекста и да направят находките по-точни с времето.

  • Ако днес не използвате GitHub Cloud, помислете да започнете с хранилища с по-нисък риск или непроизводствени хранилища за оценка. Това може да помогне на екипите да изградят увереност в работния процес преди по-широко приемане.

  • Преглеждайте генерираните PRs за корекции с обичайния си процес за преглед. Препоръчваме също да използвате Codex Code Review за PRs на Codex Security, така че отстраняването да не въведе регресии.

ЧЗВ

Codex Security автоматично ли променя кода ми?

Не. Codex Security предлага корекция за човешки преглед. Това предложение може да бъде превърнато в pull request, но не променя автоматично вашия код.

Codex Security разчита ли на fuzzing или сканиране, базирано на сигнатури?

Не. Codex Security използва структурирано анализиране на езиков модел, изчисления по време на тестване, използване на инструменти и голям контекст, вместо fuzzing или сканиране, базирано на сигнатури.

Мога ли да преглеждам или редактирам модела на заплахите?

Да. Моделът на заплахите е видим и може да се редактира, така че екипите да могат да проверяват как Codex Security разбира приложението и да актуализират предположенията, така че да съответстват на тяхната среда.

Какво означава потвърждаване?

Потвърждаването е стъпката, в която Codex Security се опитва да възпроизведе потенциална уязвимост в изолирана среда, преди да я покаже. Целта е да се намалят фалшивите положителни резултати и находките да останат с висок сигнал.

Какво се случва след потвърждаване на находка?

След потвърждаването Codex Security предлага корекция, която адресира първопричината и може да бъде превърната в pull request за преглед.

Беше ли Ви полезна тази статия?