OpenAI
Esta página se tradujo automáticamente. Ver el artículo original en inglés.

Seguridad de Codex

Actualización: 24 days ago

Codex Security es una versión preliminar de investigación disponible para usuarios de ChatGPT Enterprise, Edu, Business y Pro. Ayuda a los equipos a identificar, validar y corregir vulnerabilidades en el código. Está diseñado para funcionar más como un investigador de seguridad que como un escáner tradicional: lee código, ejecuta pruebas, explora rutas de ataque realistas y propone parches que los equipos pueden revisar en su flujo de trabajo habitual.

Descripción general

Actualmente, Codex Security se conecta directamente a repositorios de GitHub. Después de habilitar un repositorio, crea un modelo de amenazas específico de la base de código, analiza el historial del repositorio, valida posibles vulnerabilidades en un entorno aislado y muestra correcciones propuestas para revisión humana.

Codex Security se basa en tres fases: identificación, validación y corrección. Durante la identificación, analiza el repositorio y explora rutas de ataque realistas. Durante la validación, intenta reproducir cada problema para confirmar que es real. Durante la corrección, genera un parche concreto que los equipos pueden revisar y convertir en una pull request.

Cómo funciona Codex Security

Cuando Codex Security se conecta a un repositorio, analiza los commits en orden cronológico inverso y crea un modelo de amenazas específico de la base de código. Ese modelo captura puntos de entrada de atacantes, límites de confianza, datos sensibles y rutas de código de alto impacto, que Codex usa para centrar el análisis en escenarios de ataque realistas. Los equipos pueden inspeccionar y editar el modelo de amenazas para que refleje sus supuestos reales de despliegue.

Codex Security sigue un flujo de trabajo de corrección de ciclo cerrado:

  1. Analizar el repositorio: Codex se conecta a tu repositorio de GitHub, analiza la base de código y crea un modelo de amenazas a partir del repositorio y del historial de commits.

  2. Descubrir vulnerabilidades: con ese modelo de amenazas, Codex explora rutas de código realistas e identifica posibles vulnerabilidades.

  3. Validar en un entorno aislado: Codex ejecuta un validador automatizado en un entorno aislado para reproducir el problema, capturar detalles de ejecución y confirmar la explotabilidad antes de mostrar el hallazgo.

  4. Generar un parche: para las vulnerabilidades validadas, Codex produce una sugerencia de parche mínima que aborda la causa raíz.

  5. Revisión humana y pull request: el parche no modifica automáticamente tu código. Se muestra para revisión humana y puede convertirse en una pull request para tu flujo de trabajo habitual.

  6. Revalidar tras la corrección: después de parchear y fusionar un problema confirmado, Codex puede revalidar la corrección, cerrando el ciclo desde la detección hasta la corrección.

Para cada hallazgo, Codex Security puede generar un análisis de la ruta de ataque que muestra cómo una entrada controlada por el atacante podría desplazarse desde un punto de entrada hasta un resultado sensible. Puntúa esa ruta por probabilidad e impacto y hace visibles los supuestos subyacentes, lo que ayuda a los equipos a priorizar riesgos realistas frente a alertas aisladas.

Antes de mostrar un hallazgo, Codex Security intenta reproducirlo en un entorno aislado. El validador registra resultados de reproducción, detalles de ejecución y artefactos de prueba de concepto para que los equipos puedan centrarse en hallazgos que realmente se haya demostrado que funcionan.

Para los hallazgos validados, Codex Security propone un parche mínimo que aborda la causa raíz. No modifica automáticamente tu código. En su lugar, el parche se muestra para revisión humana y puede convertirse en una pull request en tu flujo de trabajo existente.

Primeros pasos

  1. Ve a Codex Security.

  2. Conecta y habilita los repositorios de GitHub que quieres que Codex Security analice.

  3. Espera a que termine el análisis inicial. Codex Security primero crea un modelo de amenazas para el proyecto y analiza el historial del repositorio en busca de vulnerabilidades existentes. Esto puede tardar más en proyectos grandes. Los análisis de código nuevo son más rápidos.

  4. Revisa los hallazgos, los detalles de validación y los parches propuestos.

Controles de acceso basados en roles (RBAC)

En las áreas de trabajo Enterprise y Edu, los administradores pueden gestionar el acceso a Codex Security en los permisos del área de trabajo. Codex Security requiere que estén habilitados tanto el acceso a Codex Cloud como el acceso a Codex Security para el área de trabajo. El acceso también puede limitarse a roles o grupos específicos mediante RBAC, incluidos los grupos sincronizados con SCIM. Para permitir que los miembros gestionen las configuraciones de análisis de Codex Security, habilita también el permiso de administrador de Codex Security para el rol o grupo correspondiente.

Para actualizar los permisos de tu área de trabajo:

  1. En ChatGPT, selecciona el icono de tu perfil y, después, selecciona Configuración del área de trabajo > Permisos para abrir los permisos del área de trabajo.

  2. Desplázate hacia abajo hasta Codex Cloud.

  3. Asegúrate de que el acceso a Codex Cloud esté habilitado.

  4. Habilita o deshabilita el acceso activando o desactivando Permitir que los miembros usen Codex Security.

  5. Si el rol o grupo debe gestionar configuraciones de análisis, habilita también Permitir que los miembros administren Codex Security.

Más información sobre los controles de acceso basados en roles en tu área de trabajo de ChatGPT.

Prácticas recomendadas

  • Empieza con un pequeño conjunto de repositorios y un grupo dedicado de revisores. Recomendamos un despliegue inicial centrado, especialmente mientras la incorporación y el intercambio de vulnerabilidades sigan siendo relativamente manuales.

  • Perfecciona el modelo de amenazas a medida que aprendes. Pequeñas actualizaciones del modelo pueden mejorar el contexto y hacer que los hallazgos sean más precisos con el tiempo.

  • Si hoy no usas GitHub Cloud, plantéate empezar la evaluación con repositorios de menor riesgo o que no sean de producción. Eso puede ayudar a los equipos a ganar confianza en el flujo de trabajo antes de una adopción más amplia.

  • Revisa las pull requests de parches generados con tu proceso de revisión habitual. También recomendamos usar Codex Code Review en las pull requests de Codex Security para que la corrección no introduzca regresiones.

Preguntas frecuentes

¿Codex Security cambia automáticamente mi código?

No. Codex Security propone un parche para revisión humana. Esa propuesta puede convertirse en una pull request, pero no modifica automáticamente tu código.

¿Codex Security depende del fuzzing o del análisis basado en firmas?

No. Codex Security utiliza razonamiento de modelos de lenguaje, cómputo en tiempo de prueba, uso de herramientas y un contexto amplio, en lugar de fuzzing o análisis basado en firmas.

¿Puedo inspeccionar o editar el modelo de amenazas?

Sí. El modelo de amenazas es visible y editable, por lo que los equipos pueden inspeccionar cómo entiende Codex Security la aplicación y actualizar los supuestos para que coincidan con su entorno.

¿Qué significa la validación?

La validación es el paso en el que Codex Security intenta reproducir una posible vulnerabilidad en un entorno aislado antes de mostrarla. Su objetivo es reducir los falsos positivos y mantener hallazgos de alta relevancia.

¿Qué ocurre después de validar un hallazgo?

Tras la validación, Codex Security propone un parche que aborda la causa raíz y puede convertirse en una pull request para su revisión.

¿Te ha resultado útil este artículo?