Codex Security je výzkumný preview dostupný pro uživatele ChatGPT Enterprise, Edu, Business a Pro. Pomáhá týmům identifikovat, ověřovat a odstraňovat zranitelnosti v kódu. Je navržen tak, aby fungoval spíše jako bezpečnostní výzkumník než jako tradiční skener: čte kód, spouští testy, zkoumá realistické cesty útoku a navrhuje opravy, které týmy mohou zkontrolovat ve svém běžném pracovním postupu.
Přehled
Codex Security se dnes připojuje přímo k úložištím GitHub. Po povolení úložiště vytvoří model hrozeb specifický pro danou kódovou základnu, prohledá historii úložiště, ověří potenciální zranitelnosti v izolovaném prostředí a zobrazí navrhované opravy ke kontrole člověkem.
Codex Security je postaven na třech fázích: identifikaci, ověření a nápravě. Během identifikace analyzuje úložiště a zkoumá realistické cesty útoku. Během ověřování se pokouší reprodukovat každý problém, aby potvrdil, že je skutečný. Během nápravy vygeneruje konkrétní opravu, kterou týmy mohou zkontrolovat a vytvořit z ní žádost o přijetí změn.
Jak Codex Security funguje
Když se Codex Security připojí k úložišti, skenuje commity v obráceném chronologickém pořadí a vytváří model hrozeb specifický pro danou kódovou základnu. Tento model zachycuje vstupní body útočníka, hranice důvěry, citlivá data a kódové cesty s velkým dopadem, což Codex používá k zaměření analýzy na realistické scénáře útoku. Týmy mohou model hrozeb prohlížet a upravovat, aby odrážel jejich skutečné předpoklady nasazení.
Codex Security používá uzavřený pracovní postup nápravy:
Skenování úložiště: Codex se připojí k vašemu úložišti GitHub, analyzuje kódovou základnu a vytvoří model hrozeb z úložiště a historie commitů.
Objevování zranitelností: Pomocí tohoto modelu hrozeb Codex zkoumá realistické cesty kódu a identifikuje potenciální zranitelnosti.
Ověření v sandboxu: Codex spustí automatizovaný validátor v izolovaném prostředí, aby problém reprodukoval, zachytil podrobnosti provádění a před zobrazením nálezu potvrdil zneužitelnost.
Generování opravy: U ověřených zranitelností Codex vytvoří návrh minimální opravy, která řeší hlavní příčinu.
Kontrola člověkem a žádost o přijetí změn: Oprava automaticky neupraví váš kód. Zobrazí se ke kontrole člověkem a lze ji převést na žádost o přijetí změn pro váš běžný pracovní postup.
Opětovné ověření po nápravě: Po opravení a sloučení potvrzeného problému může Codex opravu znovu ověřit a uzavřít tak smyčku od detekce po nápravu.
Pro každý nález může Codex Security vytvořit analýzu cesty útoku, která ukazuje, jak by se útočníkem ovládaný vstup mohl přesunout ze vstupního bodu k citlivému výsledku. Tuto cestu ohodnocuje podle pravděpodobnosti a dopadu a zviditelňuje základní předpoklady, což týmům pomáhá upřednostnit realistická rizika před izolovanými upozorněními.
Před zobrazením nálezu se Codex Security pokusí nález reprodukovat v izolovaném prostředí. Validátor zaznamenává výsledky reprodukce, podrobnosti provádění a artefakty proof-of-concept, aby se týmy mohly soustředit na nálezy, u kterých bylo skutečně prokázáno, že fungují.
U ověřených nálezů Codex Security navrhne minimální opravu, která řeší hlavní příčinu. Váš kód automaticky neupravuje. Místo toho se oprava zobrazí ke kontrole člověkem a lze ji převést na žádost o přijetí změn ve vašem stávajícím pracovním postupu.
Začínáme
Přejděte na Codex Security.
Připojte a povolte úložiště GitHub, která má Codex Security skenovat.
Počkejte, až se dokončí úvodní skenování. Codex Security nejprve vytvoří pro projekt model hrozeb a prohledá historii úložiště kvůli existujícím zranitelnostem. U velkých projektů to může trvat déle. Skenování nového kódu je rychlejší.
Zkontrolujte nálezy, podrobnosti ověření a navrhované opravy.
Řízení přístupu podle rolí (RBAC)
U pracovních prostorů Enterprise a Edu mohou správci spravovat přístup ke Codex Security v oprávněních pracovního prostoru. Codex Security vyžaduje, aby byl pro pracovní prostor povolen přístup ke Codex Cloud i Codex Security. Přístup lze prostřednictvím RBAC také omezit na konkrétní role nebo skupiny, včetně skupin synchronizovaných přes SCIM. Chcete-li členům umožnit spravovat konfigurace skenování Codex Security, povolte také oprávnění správce Codex Security pro příslušnou roli nebo skupinu.
Postup aktualizace oprávnění pracovního prostoru:
V ChatGPT vyberte ikonu svého profilu a poté vyberte Workspace Settings > Permissions, čímž otevřete oprávnění pracovního prostoru.
Posuňte se dolů na Codex Cloud.
Ujistěte se, že je přístup ke Codex Cloud povolen.
Povolte nebo zakažte přístup přepnutím volby Allow members to use Codex Security.
Pokud má role nebo skupina spravovat konfigurace skenování, povolte také Allow members to administer Codex Security.
Přečtěte si více o řízení přístupu podle rolí ve vašem pracovním prostoru ChatGPT.
Doporučené postupy
Začněte s malou sadou úložišť a vyhrazenou skupinou kontrolorů. Zpočátku doporučujeme cílené zavádění, zejména dokud jsou onboarding a sdílení zranitelností stále poměrně manuální.
Zpřesňujte model hrozeb podle toho, co zjistíte. Malé aktualizace modelu mohou zlepšit kontext a časem zpřesnit nálezy.
Pokud dnes GitHub Cloud nepoužíváte, zvažte, že pro vyhodnocení začnete s méně rizikovými nebo neprodukčními úložišti. To může týmům pomoci získat důvěru v pracovní postup před širším přijetím.
Kontrolujte vygenerované PR s opravami pomocí svého běžného procesu kontroly. Doporučujeme také používat Codex Code Review u PR z Codex Security, aby náprava nezavedla regrese.
Časté dotazy
Mění Codex Security automaticky můj kód?
Ne. Codex Security navrhuje opravu ke kontrole člověkem. Tento návrh lze převést na žádost o přijetí změn, ale váš kód automaticky neupraví.
Spoléhá se Codex Security na fuzzing nebo skenování založené na signaturách?
Ne. Codex Security používá uvažování jazykového modelu, výpočet při testování, používání nástrojů a rozsáhlý kontext, nikoli fuzzing nebo skenování založené na signaturách.
Mohu model hrozeb prohlížet nebo upravovat?
Ano. Model hrozeb je viditelný a upravitelný, takže týmy mohou zkontrolovat, jak Codex Security aplikaci rozumí, a aktualizovat předpoklady tak, aby odpovídaly jejich prostředí.
Co znamená ověření?
Ověření je krok, při kterém se Codex Security pokusí reprodukovat potenciální zranitelnost v izolovaném prostředí, než ji zobrazí. Cílem je omezit falešně pozitivní výsledky a zachovat vysokou vypovídací hodnotu nálezů.
Co se stane po ověření nálezu?
Po ověření Codex Security navrhne opravu, která řeší hlavní příčinu a kterou lze převést na žádost o přijetí změn ke kontrole.