OpenAI
Esta página se tradujo automáticamente. Ver el artículo original en inglés.

Seguridad de Codex

Última actualización: 19 days ago

Codex Security es una vista previa de investigación disponible para usuarios de ChatGPT Enterprise, Edu, Business y Pro. Ayuda a los equipos a identificar, validar y remediar vulnerabilidades en el código. Está diseñado para funcionar más como un investigador de seguridad que como un escáner tradicional: lee código, ejecuta pruebas, explora rutas de ataque realistas y propone parches que los equipos pueden revisar en su flujo de trabajo habitual.

Descripción general

Hoy, Codex Security se conecta directamente a repositorios de GitHub. Después de habilitar un repositorio, crea un modelo de amenazas específico de la base de código, analiza el historial del repositorio, valida vulnerabilidades potenciales en un entorno aislado y muestra correcciones propuestas para revisión humana.

Codex Security se estructura en torno a tres etapas: identificación, validación y remediación. Durante la identificación, analiza el repositorio y explora rutas de ataque realistas. Durante la validación, intenta reproducir cada problema para confirmar que es real. Durante la remediación, genera un parche concreto que los equipos pueden revisar y convertir en una pull request.

Cómo funciona Codex Security

Cuando Codex Security se conecta a un repositorio, analiza los commits en orden cronológico inverso y crea un modelo de amenazas específico de la base de código. Ese modelo captura puntos de entrada de atacantes, límites de confianza, datos confidenciales y rutas de código de alto impacto, que Codex usa para enfocar el análisis en escenarios de ataque realistas. Los equipos pueden inspeccionar y editar el modelo de amenazas para que refleje sus supuestos reales de implementación.

Codex Security sigue un flujo de trabajo de remediación de ciclo cerrado:

  1. Escanear el repositorio: Codex se conecta a tu repositorio de GitHub, analiza la base de código y crea un modelo de amenazas a partir del repositorio y el historial de commits.

  2. Descubrir vulnerabilidades: con ese modelo de amenazas, Codex explora rutas de código realistas e identifica vulnerabilidades potenciales.

  3. Validar en un sandbox: Codex ejecuta un validador automatizado en un entorno aislado para reproducir el problema, capturar detalles de ejecución y confirmar la explotabilidad antes de mostrar el hallazgo.

  4. Generar un parche: para las vulnerabilidades validadas, Codex produce una sugerencia de parche mínima que aborda la causa raíz.

  5. Revisión humana y pull request: el parche no modifica automáticamente tu código. Se muestra para revisión humana y puede convertirse en una pull request para tu flujo de trabajo habitual.

  6. Revalidar después de la remediación: después de que un problema confirmado se parchea y se fusiona, Codex puede revalidar la corrección, cerrando el ciclo desde la detección hasta la remediación.

Para cada hallazgo, Codex Security puede producir un análisis de ruta de ataque que muestra cómo una entrada controlada por un atacante podría pasar de un punto de entrada a un resultado sensible. Puntúa esa ruta según la probabilidad y el impacto, y hace visibles los supuestos subyacentes, lo que ayuda a los equipos a priorizar riesgos realistas por encima de alertas aisladas.

Antes de mostrar un hallazgo, Codex Security intenta reproducirlo en un entorno aislado. El validador registra los resultados de reproducción, los detalles de ejecución y los artefactos de prueba de concepto para que los equipos puedan centrarse en hallazgos que realmente hayan demostrado funcionar.

Para los hallazgos validados, Codex Security propone un parche mínimo que aborda la causa raíz. No modifica automáticamente tu código. En cambio, el parche se muestra para revisión humana y puede convertirse en una pull request en tu flujo de trabajo existente.

Comenzar

  1. Ve a Codex Security.

  2. Conecta y habilita los repositorios de GitHub que quieres que Codex Security analice.

  3. Espera a que finalice el análisis inicial. Codex Security primero crea un modelo de amenazas para el proyecto y analiza el historial del repositorio en busca de vulnerabilidades existentes. Esto puede tardar más en proyectos grandes. Los análisis de código nuevo son más rápidos.

  4. Revisa los hallazgos, los detalles de validación y los parches propuestos.

Controles de acceso basados en roles (RBAC)

En los espacios de trabajo Enterprise y Edu, los administradores pueden gestionar el acceso a Codex Security en los permisos del espacio de trabajo. Codex Security requiere que el acceso a Codex Cloud y a Codex Security esté habilitado para el espacio de trabajo. El acceso también puede limitarse a roles o grupos específicos mediante RBAC, incluidos los grupos sincronizados con SCIM. Para permitir que los miembros gestionen las configuraciones de análisis de Codex Security, habilita también el permiso de administración de Codex Security para el rol o grupo correspondiente.

Para actualizar los permisos de tu espacio de trabajo:

  1. En ChatGPT, selecciona el ícono de tu perfil y luego selecciona Configuración del espacio de trabajo > Permisos para abrir los permisos del espacio de trabajo.

  2. Desplázate hacia abajo hasta Codex Cloud.

  3. Asegúrate de que el acceso a Codex Cloud esté habilitado.

  4. Habilita o deshabilita el acceso activando o desactivando Permitir que los miembros usen Codex Security.

  5. Si el rol o grupo debe gestionar configuraciones de análisis, habilita también Permitir que los miembros administren Codex Security.

Obtén más información sobre los controles de acceso basados en roles en tu espacio de trabajo de ChatGPT.

Prácticas recomendadas

  • Comienza con un conjunto pequeño de repositorios y un grupo dedicado de revisores. Recomendamos una implementación enfocada al principio, especialmente mientras la incorporación y el uso compartido de vulnerabilidades sigan siendo relativamente manuales.

  • Refina el modelo de amenazas a medida que aprendes. Pequeñas actualizaciones del modelo pueden mejorar el contexto y hacer que los hallazgos sean más precisos con el tiempo.

  • Si hoy no usas GitHub Cloud, considera comenzar con repositorios de menor riesgo o que no sean de producción para la evaluación. Eso puede ayudar a los equipos a ganar confianza en el flujo de trabajo antes de una adopción más amplia.

  • Revisa las pull requests de parches generados con tu proceso de revisión habitual. También recomendamos usar Codex Code Review en las pull requests de Codex Security para que la remediación no introduzca regresiones.

Preguntas frecuentes

¿Codex Security cambia mi código automáticamente?

No. Codex Security propone un parche para revisión humana. Esa propuesta puede convertirse en una pull request, pero no modifica automáticamente tu código.

¿Codex Security depende de fuzzing o de escaneos basados en firmas?

No. Codex Security usa razonamiento de modelos de lenguaje, cómputo en tiempo de prueba, uso de herramientas y contexto amplio, en lugar de fuzzing o escaneos basados en firmas.

¿Puedo inspeccionar o editar el modelo de amenazas?

Sí. El modelo de amenazas es visible y editable, por lo que los equipos pueden inspeccionar cómo Codex Security comprende la aplicación y actualizar los supuestos para que coincidan con su entorno.

¿Qué significa validación?

La validación es el paso en el que Codex Security intenta reproducir una vulnerabilidad potencial en un entorno aislado antes de mostrarla. Esto busca reducir los falsos positivos y mantener hallazgos de alta señal.

¿Qué sucede después de validar un hallazgo?

Después de la validación, Codex Security propone un parche que aborda la causa raíz y puede convertirse en una pull request para revisión.

¿Este artículo te fue útil?