Το Codex Security είναι μια ερευνητική προεπισκόπηση που βοηθά τις ομάδες να εντοπίζουν, να επαληθεύουν και να αποκαθιστούν ευπάθειες στον κώδικα. Έχει σχεδιαστεί ώστε να λειτουργεί περισσότερο σαν ερευνητής ασφάλειας παρά σαν παραδοσιακός σαρωτής: διαβάζει κώδικα, εκτελεί δοκιμές, εξερευνά ρεαλιστικές διαδρομές επίθεσης και προτείνει διορθώσεις που οι ομάδες μπορούν να ελέγξουν στη συνήθη ροή εργασίας τους.
Επισκόπηση
Σήμερα, το Codex Security συνδέεται απευθείας με αποθετήρια GitHub. Αφού ενεργοποιήσετε ένα αποθετήριο, δημιουργεί ένα μοντέλο απειλών ειδικό για τη βάση κώδικα, σαρώνει το ιστορικό του αποθετηρίου, επαληθεύει πιθανές ευπάθειες σε απομονωμένο περιβάλλον και εμφανίζει προτεινόμενες διορθώσεις για ανθρώπινο έλεγχο.
Το Codex Security βασίζεται σε τρία στάδια: εντοπισμός, επαλήθευση και αποκατάσταση. Κατά τον εντοπισμό, αναλύει το αποθετήριο και εξερευνά ρεαλιστικές διαδρομές επίθεσης. Κατά την επαλήθευση, προσπαθεί να αναπαράγει κάθε ζήτημα για να επιβεβαιώσει ότι είναι πραγματικό. Κατά την αποκατάσταση, δημιουργεί μια συγκεκριμένη επιδιόρθωση που οι ομάδες μπορούν να ελέγξουν και να μετατρέψουν σε αίτημα συγχώνευσης κώδικα.
Πώς λειτουργεί το Codex Security
Όταν το Codex Security συνδέεται με ένα αποθετήριο, σαρώνει τα commits με αντίστροφη χρονολογική σειρά και δημιουργεί ένα μοντέλο απειλών ειδικό για τη βάση κώδικα. Αυτό το μοντέλο αποτυπώνει σημεία εισόδου επιτιθέμενου, όρια εμπιστοσύνης, ευαίσθητα δεδομένα και διαδρομές κώδικα υψηλού αντίκτυπου, τα οποία το Codex χρησιμοποιεί για να εστιάζει την ανάλυση σε ρεαλιστικά σενάρια επίθεσης. Οι ομάδες μπορούν να επιθεωρούν και να επεξεργάζονται το μοντέλο απειλών ώστε να αντικατοπτρίζει τις πραγματικές παραδοχές ανάπτυξης που έχουν.
Το Codex Security ακολουθεί μια κλειστού βρόχου ροή εργασίας αποκατάστασης:
Σάρωση του αποθετηρίου: Το Codex συνδέεται στο αποθετήριο GitHub σας, αναλύει τη βάση κώδικα και δημιουργεί ένα μοντέλο απειλών από το αποθετήριο και το ιστορικό των commits.
Ανακάλυψη ευπαθειών: Χρησιμοποιώντας αυτό το μοντέλο απειλών, το Codex εξερευνά ρεαλιστικές διαδρομές κώδικα και εντοπίζει πιθανές ευπάθειες.
Επαλήθευση σε sandbox: Το Codex εκτελεί έναν αυτοματοποιημένο επαληθευτή σε απομονωμένο περιβάλλον για να αναπαράγει το ζήτημα, να καταγράψει λεπτομέρειες εκτέλεσης και να επιβεβαιώσει τη δυνατότητα εκμετάλλευσης πριν εμφανίσει το εύρημα.
Δημιουργία επιδιόρθωσης: Για επαληθευμένες ευπάθειες, το Codex παράγει μια ελάχιστη προτεινόμενη επιδιόρθωση που αντιμετωπίζει τη βασική αιτία.
Ανθρώπινος έλεγχος και αίτημα συγχώνευσης κώδικα: Η επιδιόρθωση δεν τροποποιεί αυτόματα τον κώδικά σας. Εμφανίζεται για ανθρώπινο έλεγχο και μπορεί να μετατραπεί σε αίτημα συγχώνευσης κώδικα για τη συνήθη ροή εργασίας σας.
Επαναληπτική επαλήθευση μετά την αποκατάσταση: Αφού μια επιβεβαιωμένη ευπάθεια επιδιορθωθεί και συγχωνευθεί, το Codex μπορεί να επαληθεύσει ξανά τη διόρθωση, κλείνοντας τον κύκλο από τον εντοπισμό έως την αποκατάσταση.
Για κάθε εύρημα, το Codex Security μπορεί να παράγει ανάλυση διαδρομής επίθεσης που δείχνει πώς είσοδος ελεγχόμενη από επιτιθέμενο θα μπορούσε να μετακινηθεί από ένα σημείο εισόδου σε ένα ευαίσθητο αποτέλεσμα. Βαθμολογεί αυτή τη διαδρομή με βάση την πιθανότητα και τον αντίκτυπο και καθιστά ορατές τις υποκείμενες παραδοχές, βοηθώντας τις ομάδες να δίνουν προτεραιότητα σε ρεαλιστικούς κινδύνους αντί για μεμονωμένες ειδοποιήσεις.
Πριν εμφανίσει ένα εύρημα, το Codex Security προσπαθεί να το αναπαράγει σε απομονωμένο περιβάλλον. Ο επαληθευτής καταγράφει αποτελέσματα αναπαραγωγής, λεπτομέρειες εκτέλεσης και τεχνουργήματα proof-of-concept ώστε οι ομάδες να μπορούν να επικεντρώνονται σε ευρήματα που έχει αποδειχθεί ότι λειτουργούν στην πράξη.
Για επαληθευμένα ευρήματα, το Codex Security προτείνει μια ελάχιστη επιδιόρθωση που αντιμετωπίζει τη βασική αιτία. Δεν τροποποιεί αυτόματα τον κώδικά σας. Αντίθετα, η επιδιόρθωση εμφανίζεται για ανθρώπινο έλεγχο και μπορεί να μετατραπεί σε αίτημα συγχώνευσης κώδικα στην υπάρχουσα ροή εργασίας σας.
Ξεκινήστε τώρα
Μεταβείτε στο chatgpt.com/codex/security.
Συνδέστε και ενεργοποιήστε τα αποθετήρια GitHub που θέλετε να σαρώσει το Codex Security.
Περιμένετε να ολοκληρωθεί η αρχική σάρωση. Το Codex Security πρώτα δημιουργεί ένα μοντέλο απειλών για το έργο και σαρώνει το ιστορικό του αποθετηρίου για υπάρχουσες ευπάθειες. Αυτό μπορεί να διαρκέσει περισσότερο για μεγάλα έργα. Οι σαρώσεις νέου κώδικα είναι ταχύτερες.
Ελέγξτε τα ευρήματα, τις λεπτομέρειες επαλήθευσης και τις προτεινόμενες επιδιορθώσεις.
Έλεγχοι πρόσβασης βάσει ρόλων (RBAC)
Για χώρους εργασίας Enterprise και Edu, οι διαχειριστές μπορούν να διαχειρίζονται την πρόσβαση στο Codex Security από τα δικαιώματα του χώρου εργασίας. Το Codex Security απαιτεί να είναι ενεργοποιημένη στον χώρο εργασίας τόσο η πρόσβαση στο Codex Cloud όσο και η πρόσβαση στο Codex Security. Η πρόσβαση μπορεί επίσης να περιοριστεί σε συγκεκριμένους ρόλους ή ομάδες μέσω RBAC, συμπεριλαμβανομένων ομάδων που συγχρονίζονται με SCIM. Για να επιτρέψετε στα μέλη να διαχειρίζονται τις διαμορφώσεις σάρωσης του Codex Security, ενεργοποιήστε επίσης το δικαίωμα διαχειριστή Codex Security για τον κατάλληλο ρόλο ή ομάδα.
Για να ενημερώσετε τα δικαιώματα του χώρου εργασίας σας:
Στο ChatGPT, κάντε κλικ στο εικονίδιο προφίλ σας και επιλέξτε Workspace Settings -> Permissions για να μεταβείτε στη σελίδα δικαιώματα χώρου εργασίας.
Κάντε κύλιση προς τα κάτω στο Codex Cloud.
Βεβαιωθείτε ότι η πρόσβαση στο Codex Cloud είναι ενεργοποιημένη.
Ενεργοποιήστε ή απενεργοποιήστε την πρόσβαση αλλάζοντας τη ρύθμιση Να επιτρέπεται στα μέλη να χρησιμοποιούν το Codex Security.
Αν ο ρόλος ή η ομάδα πρέπει να διαχειρίζεται τις διαμορφώσεις σάρωσης, ενεργοποιήστε επίσης τη ρύθμιση Να επιτρέπεται στα μέλη να διαχειρίζονται το Codex Security.
Μάθετε περισσότερα για τους ελέγχους πρόσβασης βάσει ρόλων στον χώρο εργασίας ChatGPT σας.
Βέλτιστες πρακτικές
Ξεκινήστε με ένα μικρό σύνολο αποθετηρίων και μια ειδική ομάδα ελεγκτών. Συνιστούμε αρχικά μια στοχευμένη διάθεση, ειδικά ενώ η εισαγωγή και η κοινοποίηση ευπαθειών παραμένουν ακόμη σχετικά χειροκίνητες.
Βελτιώνετε το μοντέλο απειλών όσο μαθαίνετε. Μικρές ενημερώσεις στο μοντέλο μπορούν να βελτιώσουν το πλαίσιο και να κάνουν τα ευρήματα ακριβέστερα με την πάροδο του χρόνου.
Αν δεν χρησιμοποιείτε σήμερα το GitHub Cloud, εξετάστε το ενδεχόμενο να ξεκινήσετε με αποθετήρια χαμηλότερου κινδύνου ή μη παραγωγικά για αξιολόγηση. Αυτό μπορεί να βοηθήσει τις ομάδες να αποκτήσουν εμπιστοσύνη στη ροή εργασίας πριν από ευρύτερη υιοθέτηση.
Ελέγχετε τα παραγόμενα αιτήματα συγχώνευσης κώδικα επιδιόρθωσης με τη συνήθη διαδικασία ελέγχου σας. Συνιστούμε επίσης να χρησιμοποιείτε το Codex Code Review στα αιτήματα συγχώνευσης κώδικα του Codex Security ώστε η αποκατάσταση να μην εισάγει παλινδρομήσεις.
Συχνές ερωτήσεις
Το Codex Security αλλάζει αυτόματα τον κώδικά μου;
Όχι. Το Codex Security προτείνει μια επιδιόρθωση για ανθρώπινο έλεγχο. Αυτή η πρόταση μπορεί να μετατραπεί σε αίτημα συγχώνευσης κώδικα, αλλά δεν τροποποιεί αυτόματα τον κώδικά σας.
Το Codex Security βασίζεται σε fuzzing ή σε σάρωση βάσει υπογραφών;
Όχι. Το Codex Security χρησιμοποιεί συλλογιστική γλωσσικού μοντέλου, υπολογισμό κατά τον χρόνο δοκιμής, χρήση εργαλείων και μεγάλο συμφραζόμενο, αντί για fuzzing ή σάρωση βάσει υπογραφών.
Μπορώ να επιθεωρήσω ή να επεξεργαστώ το μοντέλο απειλών;
Ναι. Το μοντέλο απειλών είναι ορατό και επεξεργάσιμο, ώστε οι ομάδες να μπορούν να επιθεωρούν πώς το Codex Security κατανοεί την εφαρμογή και να ενημερώνουν τις παραδοχές ώστε να ταιριάζουν με το περιβάλλον τους.
Τι σημαίνει επαλήθευση;
Η επαλήθευση είναι το βήμα στο οποίο το Codex Security προσπαθεί να αναπαράγει μια πιθανή ευπάθεια σε απομονωμένο περιβάλλον πριν την εμφανίσει. Αυτό αποσκοπεί στη μείωση των ψευδώς θετικών και στη διατήρηση ευρημάτων υψηλού σήματος.
Τι συμβαίνει αφού επαληθευτεί ένα εύρημα;
Μετά την επαλήθευση, το Codex Security προτείνει μια επιδιόρθωση που αντιμετωπίζει τη βασική αιτία και μπορεί να μετατραπεί σε αίτημα συγχώνευσης κώδικα για έλεγχο.