OpenAI
Denne side er maskinoversat. Se den originale engelske artikel.

Codex Security

Opdateret: 22 days ago

Codex Security er en forskningspreview, der er tilgængelig for brugere af ChatGPT Enterprise, Edu, Business og Pro. Det hjælper teams med at identificere, validere og afhjælpe sårbarheder i kode. Det er designet til at fungere mere som en sikkerhedsforsker end som en traditionel scanner: Det læser kode, kører tests, udforsker realistiske angrebsveje og foreslår rettelser, som teams kan gennemgå i deres normale workflow.

Oversigt

I dag forbinder Codex Security direkte til GitHub-lagre. Når du har aktiveret et lager, opbygger det en kodebasespecifik trusselsmodel, scanner lagerhistorikken, validerer potentielle sårbarheder i et isoleret miljø og viser foreslåede rettelser til menneskelig gennemgang.

Codex Security er bygget op omkring tre faser: identifikation, validering og afhjælpning. Under identifikation analyserer det lageret og udforsker realistiske angrebsveje. Under validering forsøger det at reproducere hvert problem for at bekræfte, at det er reelt. Under afhjælpning genererer det en konkret rettelse, som teams kan gennemgå og oprette som en pull-anmodning.

Sådan fungerer Codex Security

Når Codex Security forbindes til et lager, scanner det commits i omvendt kronologisk rækkefølge og opbygger en kodebasespecifik trusselsmodel. Denne model indfanger angriberes indgangspunkter, tillidsgrænser, følsomme data og kodeveje med stor påvirkning, som Codex bruger til at fokusere analysen på realistiske angrebsscenarier. Teams kan inspicere og redigere trusselsmodellen, så den afspejler deres faktiske antagelser om udrulning.

Codex Security følger et lukket workflow for afhjælpning:

  1. Scan lageret: Codex forbinder til dit GitHub-lager, analyserer kodebasen og opbygger en trusselsmodel ud fra lageret og commit-historikken.

  2. Opdag sårbarheder: Ved hjælp af denne trusselsmodel udforsker Codex realistiske kodeveje og identificerer potentielle sårbarheder.

  3. Valider i en sandbox: Codex kører en automatiseret validator i et isoleret miljø for at reproducere problemet, registrere eksekveringsdetaljer og bekræfte udnyttelighed, før fundet vises.

  4. Generér en rettelse: For validerede sårbarheder udarbejder Codex et minimalt rettelsesforslag, der adresserer rodårsagen.

  5. Menneskelig gennemgang og pull-anmodning: Rettelsen ændrer ikke automatisk din kode. Den vises til menneskelig gennemgang og kan omdannes til en pull-anmodning til dit normale workflow.

  6. Valider igen efter afhjælpning: Når et bekræftet problem er rettet og flettet, kan Codex validere rettelsen igen og dermed lukke sløjfen fra registrering til afhjælpning.

For hvert fund kan Codex Security udarbejde en analyse af angrebsvejen, der viser, hvordan angriberstyret input kan bevæge sig fra et indgangspunkt til et følsomt resultat. Det scorer denne vej efter sandsynlighed og påvirkning og gør de underliggende antagelser synlige, hvilket hjælper teams med at prioritere realistiske risici frem for isolerede advarsler.

Før Codex Security viser et fund, forsøger det at reproducere det i et isoleret miljø. Validatoren registrerer reproduktionsresultater, eksekveringsdetaljer og proof-of-concept-artefakter, så teams kan fokusere på fund, der faktisk har vist sig at virke.

For validerede fund foreslår Codex Security en minimal rettelse, der adresserer rodårsagen. Det ændrer ikke automatisk din kode. I stedet vises rettelsen til menneskelig gennemgang og kan omdannes til en pull-anmodning i dit eksisterende workflow.

Kom i gang

  1. Gå til Codex Security.

  2. Forbind og aktivér de GitHub-lagre, som Codex Security skal scanne.

  3. Vent på, at den indledende scanning afsluttes. Codex Security opbygger først en trusselsmodel for projektet og scanner lagerhistorikken for eksisterende sårbarheder. Dette kan tage længere tid for store projekter. Scanninger af ny kode er hurtigere.

  4. Gennemgå fund, valideringsdetaljer og foreslåede rettelser.

Rollebaseret adgangskontrol (RBAC)

For Enterprise- og Edu-arbejdsområder kan administratorer administrere adgang til Codex Security i tilladelser for arbejdsområdet. Codex Security kræver, at både adgang til Codex Cloud og Codex Security er aktiveret for arbejdsområdet. Adgang kan også begrænses til bestemte roller eller grupper via RBAC, herunder SCIM-synkroniserede grupper. Hvis medlemmer skal kunne administrere scanningskonfigurationer for Codex Security, skal du også aktivere administratortilladelsen til Codex Security for den relevante rolle eller gruppe.

Sådan opdaterer du tilladelserne for dit arbejdsområde:

  1. I ChatGPT skal du vælge dit profilikon og derefter vælge Indstillinger for arbejdsområde > Tilladelser for at åbne tilladelser for arbejdsområde.

  2. Rul ned til Codex Cloud.

  3. Sørg for, at adgang til Codex Cloud er aktiveret.

  4. Aktivér eller deaktiver adgang ved at slå Tillad medlemmer at bruge Codex Security. til eller fra.

  5. Hvis rollen eller gruppen skal administrere scanningskonfigurationer, skal du også aktivere Tillad medlemmer at administrere Codex Security.

Få mere at vide om rollebaseret adgangskontrol i dit ChatGPT-arbejdsområde.

Bedste praksis

  • Start med et lille sæt lagre og en dedikeret gruppe af reviewers. Vi anbefaler en fokuseret udrulning til at begynde med, især mens onboarding og deling af sårbarheder stadig er relativt manuelt.

  • Finjuster trusselsmodellen, efterhånden som du lærer. Små opdateringer af modellen kan forbedre konteksten og gøre fund mere præcise over tid.

  • Hvis du ikke bruger GitHub Cloud i dag, kan du overveje at starte med lagre med lavere risiko eller lagre, der ikke bruges i produktion, til evaluering. Det kan hjælpe teams med at opbygge tillid til workflowet før bredere ibrugtagning.

  • Gennemgå genererede patch-PRs med din normale gennemgangsproces. Vi anbefaler også at bruge Codex Code Review på Codex Security-PRs, så afhjælpning ikke introducerer regressioner.

Ofte stillede spørgsmål

Ændrer Codex Security automatisk min kode?

Nej. Codex Security foreslår en rettelse til menneskelig gennemgang. Forslaget kan omdannes til en pull-anmodning, men det ændrer ikke automatisk din kode.

Er Codex Security afhængig af fuzzing eller signaturbaseret scanning?

Nej. Codex Security bruger sprogmodelræsonnering, test-time compute, værktøjsbrug og stor kontekst i stedet for fuzzing eller signaturbaseret scanning.

Kan jeg inspicere eller redigere trusselsmodellen?

Ja. Trusselsmodellen er synlig og kan redigeres, så teams kan inspicere, hvordan Codex Security forstår applikationen, og opdatere antagelser, så de passer til deres miljø.

Hvad betyder validering?

Validering er det trin, hvor Codex Security forsøger at reproducere en potentiel sårbarhed i et isoleret miljø, før den vises. Det skal reducere falske positiver og sikre, at fundene har høj signalværdi.

Hvad sker der, når et fund er valideret?

Efter validering foreslår Codex Security en rettelse, der adresserer rodårsagen og kan omdannes til en pull-anmodning til gennemgang.

Var denne artikel nyttig?