Codex Security je výzkumná verze, která týmům pomáhá identifikovat, ověřovat a odstraňovat zranitelnosti v kódu. Je navržen tak, aby fungoval spíše jako bezpečnostní výzkumník než tradiční skener: čte kód, spouští testy, prozkoumává realistické cesty útoku a navrhuje opravy, které mohou týmy zkontrolovat ve svém běžném pracovním postupu.
Přehled
Dnes se Codex Security připojuje přímo k úložištím GitHubu. Po povolení úložiště vytvoří model hrozeb specifický pro danou kódovou základnu, prohledá historii úložiště, ověří potenciální zranitelnosti v izolovaném prostředí a předloží navržené opravy k lidské kontrole.
Codex Security je postaven na třech fázích: identifikaci, ověření a nápravě. Během identifikace analyzuje úložiště a prozkoumává realistické cesty útoku. Během ověření se pokouší reprodukovat každý problém, aby potvrdil, že je skutečný. Během nápravy vygeneruje konkrétní opravu, kterou mohou týmy zkontrolovat a převést na žádost o přijetí změn.
Jak Codex Security funguje
Když se Codex Security připojí k úložišti, prohledává commity v opačném chronologickém pořadí a vytváří model hrozeb specifický pro danou kódovou základnu. Tento model zachycuje vstupní body útočníka, hranice důvěry, citlivá data a kódové cesty s vysokým dopadem, což Codexu pomáhá zaměřit analýzu na realistické scénáře útoku. Týmy si mohou model hrozeb prohlédnout a upravit, aby odpovídal jejich skutečným předpokladům nasazení.
Codex Security používá uzavřený pracovní postup nápravy:
Prohledejte úložiště: Codex se připojí k vašemu úložišti na GitHubu, analyzuje kódovou základnu a vytvoří model hrozeb z úložiště a historie commitů.
Objevte zranitelnosti: Pomocí tohoto modelu hrozeb Codex prozkoumává realistické cesty kódem a identifikuje potenciální zranitelnosti.
Ověřte v sandboxu: Codex spustí automatizovaný ověřovací nástroj v izolovaném prostředí, aby reprodukoval problém, zachytil podrobnosti provádění a před předložením nálezu potvrdil zneužitelnost.
Vygenerujte opravu: Pro ověřené zranitelnosti Codex vytvoří návrh minimální opravy, která řeší hlavní příčinu.
Lidská kontrola a žádost o přijetí změn: Oprava automaticky neupravuje váš kód. Je předložena k lidské kontrole a může být převedena na žádost o přijetí změn pro váš běžný pracovní postup.
Znovu ověřte po nápravě: Po opravě a sloučení potvrzeného problému může Codex opravu znovu ověřit a uzavřít tak smyčku od detekce po nápravu.
Pro každý nález může Codex Security vytvořit analýzu cesty útoku, která ukazuje, jak se vstup ovládaný útočníkem může přesunout od vstupního bodu k citlivému výsledku. Tuto cestu hodnotí podle pravděpodobnosti a dopadu a zviditelňuje základní předpoklady, což týmům pomáhá upřednostnit realistická rizika před izolovanými upozorněními.
Před předložením nálezu se Codex Security pokouší reprodukovat jej v izolovaném prostředí. Ověřovací nástroj zaznamenává výsledky reprodukce, podrobnosti provádění a artefakty proof-of-concept, aby se týmy mohly soustředit na nálezy, u nichž bylo skutečně prokázáno, že fungují.
Pro ověřené nálezy Codex Security navrhuje minimální opravu, která řeší hlavní příčinu. Váš kód automaticky neupravuje. Místo toho je oprava předložena k lidské kontrole a může být převedena na žádost o přijetí změn ve vašem stávajícím pracovním postupu.
Začínáme
Přejděte na chatgpt.com/codex/security.
Připojte a povolte úložiště GitHubu, která má Codex Security prohledávat.
Počkejte na dokončení počátečního skenování. Codex Security nejprve vytvoří model hrozeb pro projekt a prohledá historii úložiště na existující zranitelnosti. U velkých projektů to může trvat déle. Skenování nového kódu jsou rychlejší.
Zkontrolujte nálezy, podrobnosti ověření a navržené opravy.
Řízení přístupu na základě rolí (RBAC)
Ve pracovních prostorech Enterprise a Edu mohou správci spravovat přístup ke Codex Security v oprávněních pracovního prostoru. Codex Security vyžaduje, aby byl pro pracovní prostor povolen přístup jak ke Codex Cloud, tak ke Codex Security. Přístup lze také omezit na konkrétní role nebo skupiny prostřednictvím RBAC, včetně skupin synchronizovaných přes SCIM. Aby členové mohli spravovat konfigurace skenování Codex Security, povolte také oprávnění správce Codex Security pro příslušnou roli nebo skupinu.
Postup aktualizace oprávnění pracovního prostoru:
V ChatGPT klikněte na ikonu svého profilu a výběrem možnosti Workspace Settings -> Permissions přejděte na stránku oprávnění pracovního prostoru.
Přejděte dolů na Codex Cloud.
Ujistěte se, že je přístup ke Codex Cloud povolen.
Povolení nebo zákaz přístupu provedete přepnutím možnosti Povolit členům používat Codex Security.
Pokud má role nebo skupina spravovat konfigurace skenování, povolte také možnost Povolit členům spravovat Codex Security.
Další informace o řízení přístupu na základě rolí v pracovním prostoru ChatGPT.
Osvědčené postupy
Začněte s malou sadou úložišť a vyhrazenou skupinou kontrolorů. Nejprve doporučujeme cílené nasazení, zejména dokud je onboarding a sdílení zranitelností stále poměrně manuální.
Model hrozeb postupně upřesňujte podle toho, co se naučíte. Malé aktualizace modelu mohou časem zlepšit kontext a zpřesnit nálezy.
Pokud dnes nepoužíváte GitHub Cloud, zvažte pro vyhodnocení začátek s méně rizikovými nebo neprodukčními úložišti. To může týmům pomoci získat důvěru v pracovní postup před širším zavedením.
PR s vygenerovanými opravami kontrolujte svým běžným procesem kontroly. Doporučujeme také používat Codex Code Review na PR od Codex Security, aby náprava nezavedla regrese.
Časté dotazy
Mění Codex Security můj kód automaticky?
Ne. Codex Security navrhuje opravu k lidské kontrole. Tento návrh lze převést na žádost o přijetí změn, ale váš kód automaticky neupravuje.
Spoléhá se Codex Security na fuzzing nebo skenování založené na signaturách?
Ne. Codex Security používá uvažování jazykového modelu, výpočetní výkon v době testování, používání nástrojů a velký kontext, nikoli fuzzing nebo skenování založené na signaturách.
Mohu si model hrozeb prohlédnout nebo upravit?
Ano. Model hrozeb je viditelný a upravitelný, takže si týmy mohou prohlédnout, jak Codex Security rozumí aplikaci, a aktualizovat předpoklady tak, aby odpovídaly jejich prostředí.
Co znamená ověření?
Ověření je krok, ve kterém se Codex Security pokouší reprodukovat potenciální zranitelnost v izolovaném prostředí ještě před jejím předložením. Cílem je snížit počet falešně pozitivních výsledků a zachovat vysokou relevanci nálezů.
Co se stane po ověření nálezu?
Po ověření Codex Security navrhne opravu, která řeší hlavní příčinu a kterou lze převést na žádost o přijetí změn ke kontrole.