OpenAI
Esta página se tradujo automáticamente. Ver el artículo original en inglés.

Seguridad de Codex

Última actualización: 14 days ago

Codex Security es una vista previa de investigación que ayuda a los equipos a identificar, validar y remediar vulnerabilidades en el código. Está diseñado para funcionar más como un investigador de seguridad que como un escáner tradicional: lee código, ejecuta pruebas, explora rutas de ataque realistas y propone parches que los equipos pueden revisar en su flujo de trabajo habitual.

Descripción general

Hoy, Codex Security se conecta directamente a repositorios de GitHub. Después de habilitar un repositorio, crea un modelo de amenazas específico para la base de código, analiza el historial del repositorio, valida posibles vulnerabilidades en un entorno aislado y muestra correcciones propuestas para revisión humana.

Codex Security se basa en tres etapas: identificación, validación y remediación. Durante la identificación, analiza el repositorio y explora rutas de ataque realistas. Durante la validación, intenta reproducir cada problema para confirmar que sea real. Durante la remediación, genera un parche concreto que los equipos pueden revisar y convertir en un pull request.

Cómo funciona Codex Security

Cuando Codex Security se conecta a un repositorio, analiza los commits en orden cronológico inverso y crea un modelo de amenazas específico para la base de código. Ese modelo captura puntos de entrada para atacantes, límites de confianza, datos sensibles y rutas de código de alto impacto, que Codex usa para enfocar el análisis en escenarios de ataque realistas. Los equipos pueden inspeccionar y editar el modelo de amenazas para que refleje sus supuestos reales de implementación.

Codex Security sigue un flujo de trabajo de remediación de ciclo cerrado:

  1. Analiza el repositorio: Codex se conecta a tu repositorio de GitHub, analiza la base de código y crea un modelo de amenazas a partir del repositorio y el historial de commits.

  2. Descubre vulnerabilidades: Con ese modelo de amenazas, Codex explora rutas de código realistas e identifica posibles vulnerabilidades.

  3. Valida en un entorno aislado: Codex ejecuta un validador automatizado en un entorno aislado para reproducir el problema, capturar detalles de ejecución y confirmar la explotabilidad antes de mostrar el hallazgo.

  4. Genera un parche: Para vulnerabilidades validadas, Codex produce una sugerencia de parche mínima que aborda la causa raíz.

  5. Revisión humana y pull request: El parche no modifica automáticamente tu código. Se muestra para revisión humana y puede convertirse en un pull request para tu flujo de trabajo habitual.

  6. Vuelve a validar después de la remediación: Después de que un problema confirmado se corrige y fusiona, Codex puede volver a validar la corrección, cerrando el ciclo desde la detección hasta la remediación.

Para cada hallazgo, Codex Security puede generar un análisis de la ruta de ataque que muestra cómo una entrada controlada por un atacante podría moverse desde un punto de entrada hasta un resultado sensible. Califica esa ruta según su probabilidad e impacto y hace visibles los supuestos subyacentes, lo que ayuda a los equipos a priorizar riesgos realistas por encima de alertas aisladas.

Antes de mostrar un hallazgo, Codex Security intenta reproducirlo en un entorno aislado. El validador registra resultados de reproducción, detalles de ejecución y artefactos de prueba de concepto para que los equipos puedan centrarse en hallazgos que realmente se ha demostrado que funcionan.

Para hallazgos validados, Codex Security propone un parche mínimo que aborda la causa raíz. No modifica automáticamente tu código. En cambio, el parche se muestra para revisión humana y puede convertirse en un pull request en tu flujo de trabajo actual.

Primeros pasos

  1. Ve a chatgpt.com/codex/security.

  2. Conecta y habilita los repositorios de GitHub que quieras que Codex Security analice.

  3. Espera a que termine el análisis inicial. Codex Security primero crea un modelo de amenazas para el proyecto y analiza el historial del repositorio en busca de vulnerabilidades existentes. Esto puede tardar más en proyectos grandes. Los análisis de código nuevo son más rápidos.

  4. Revisa los hallazgos, los detalles de validación y los parches propuestos.

Controles de acceso basados en roles (RBAC)

Para los Espacios de trabajo Enterprise y Edu, los administradores pueden gestionar el acceso a Codex Security en los permisos del espacio de trabajo. Codex Security requiere que tanto el acceso a Codex Cloud como a Codex Security estén habilitados para el espacio de trabajo. El acceso también puede limitarse a roles o grupos específicos mediante RBAC, incluidos los grupos sincronizados con SCIM.

Para actualizar los permisos de tu espacio de trabajo:

  1. En ChatGPT, haz clic en el ícono de tu perfil y selecciona Configuración del espacio de trabajo -> Permisos para ir a la página de permisos del espacio de trabajo.

  2. Desplázate hacia abajo hasta Codex Cloud.

  3. Asegúrate de que el acceso a Codex Cloud esté habilitado.

  4. Habilita o deshabilita el acceso activando o desactivando Permitir que los miembros usen Codex Security.

Obtén más información sobre los controles de acceso basados en roles en tu espacio de trabajo de ChatGPT.

Prácticas recomendadas

  • Comienza con un conjunto pequeño de repositorios y un grupo dedicado de revisores. Recomendamos una implementación inicial enfocada, especialmente mientras la incorporación y el intercambio de vulnerabilidades sigan siendo relativamente manuales.

  • Refina el modelo de amenazas a medida que aprendes. Pequeñas actualizaciones del modelo pueden mejorar el contexto y hacer que los hallazgos sean más precisos con el tiempo.

  • Si hoy no usas GitHub Cloud, considera comenzar con repositorios de menor riesgo o que no sean de producción para la evaluación. Eso puede ayudar a los equipos a ganar confianza en el flujo de trabajo antes de una adopción más amplia.

  • Revisa los PRs de parches generados con tu proceso de revisión habitual. También recomendamos usar Codex Code Review en los PRs de Codex Security para que la remediación no introduzca regresiones.

Preguntas frecuentes

¿Codex Security cambia automáticamente mi código?

No. Codex Security propone un parche para revisión humana. Esa propuesta puede convertirse en un pull request, pero no modifica automáticamente tu código.

¿Codex Security depende de fuzzing o del análisis basado en firmas?

No. Codex Security usa razonamiento de modelos de lenguaje, cómputo en tiempo de prueba, uso de herramientas y gran contexto, en lugar de fuzzing o análisis basado en firmas.

¿Puedo inspeccionar o editar el modelo de amenazas?

Sí. El modelo de amenazas es visible y editable, por lo que los equipos pueden inspeccionar cómo Codex Security entiende la aplicación y actualizar los supuestos para que coincidan con su entorno.

¿Qué significa validación?

La validación es el paso en el que Codex Security intenta reproducir una posible vulnerabilidad en un entorno aislado antes de mostrarla. Esto busca reducir los falsos positivos y mantener hallazgos de alta relevancia.

¿Qué sucede después de que se valida un hallazgo?

Después de la validación, Codex Security propone un parche que aborda la causa raíz y puede convertirse en un pull request para revisión.

¿Este artículo te fue útil?