OpenAI
Tämä sivu on konekäännetty. Katso alkuperäinen englanninkielinen artikkeli.

Codex Security

Päivitetty: 16 days ago

Codex Security on tutkimusesikatselu, joka auttaa tiimejä tunnistamaan, validoimaan ja korjaamaan koodin haavoittuvuuksia. Se on suunniteltu toimimaan enemmän tietoturvatutkijan kuin perinteisen skannerin tavoin: se lukee koodia, suorittaa testejä, tutkii realistisia hyökkäyspolkuja ja ehdottaa korjauksia, jotka tiimit voivat tarkistaa normaalissa työnkulussaan.

Yleiskatsaus

Tällä hetkellä Codex Security muodostaa suoran yhteyden GitHub-repositorioihin. Kun otat repositorion käyttöön, se rakentaa koodikantakohtaisen uhkamallin, skannaa repositorion historian, validoi mahdolliset haavoittuvuudet eristetyssä ympäristössä ja tuo esiin ehdotetut korjaukset ihmisen tarkistettavaksi.

Codex Security rakentuu kolmen vaiheen ympärille: tunnistaminen, validointi ja korjaaminen. Tunnistamisvaiheessa se analysoi repositorion ja tutkii realistisia hyökkäyspolkuja. Validointivaiheessa se yrittää toistaa jokaisen ongelman varmistaakseen, että se on todellinen. Korjausvaiheessa se tuottaa konkreettisen korjauksen, jonka tiimit voivat tarkistaa ja nostaa muutospyynnöksi.

Näin Codex Security toimii

Kun Codex Security muodostaa yhteyden repositorioon, se skannaa commitit käänteisessä aikajärjestyksessä ja rakentaa koodikantakohtaisen uhkamallin. Malli kuvaa hyökkääjän sisääntulopisteet, luottamusrajat, arkaluonteiset tiedot ja suuren vaikutuksen koodipolut, joita Codex käyttää kohdistaakseen analyysin realistisiin hyökkäysskenaarioihin. Tiimit voivat tarkastella ja muokata uhkamallia, jotta se vastaa niiden todellisia käyttöönotto-oletuksia.

Codex Security noudattaa suljetun silmukan korjaustyönkulkua:

  1. Skannaa repositorio: Codex muodostaa yhteyden GitHub-repositorioosi, analysoi koodikannan ja rakentaa uhkamallin repositorion ja commithistorian perusteella.

  2. Löydä haavoittuvuudet: Tämän uhkamallin avulla Codex tutkii realistisia koodipolkuja ja tunnistaa mahdolliset haavoittuvuudet.

  3. Validoi hiekkalaatikossa: Codex suorittaa automaattisen validoijan eristetyssä ympäristössä toistaakseen ongelman, tallentaakseen suorituksen yksityiskohdat ja varmistaakseen hyväksikäytettävyyden ennen havainnon esiin tuomista.

  4. Luo korjaus: Validoitujen haavoittuvuuksien osalta Codex tuottaa minimaalisen korjausehdotuksen, joka puuttuu juurisyyhyn.

  5. Ihmisen tarkistus ja muutospyyntö: Korjaus ei muokkaa koodiasi automaattisesti. Se tuodaan esiin ihmisen tarkistettavaksi, ja siitä voidaan tehdä muutospyyntö normaaliin työnkulkuusi.

  6. Validoi uudelleen korjauksen jälkeen: Kun vahvistettu ongelma on korjattu ja yhdistetty, Codex voi validoida korjauksen uudelleen, jolloin silmukka havainnosta korjaukseen sulkeutuu.

Jokaisesta havainnosta Codex Security voi tuottaa hyökkäyspolkua koskevan analyysin, joka näyttää, miten hyökkääjän hallitsema syöte voi siirtyä sisääntulopisteestä arkaluonteiseen lopputulokseen. Se pisteyttää polun todennäköisyyden ja vaikutuksen mukaan ja tekee taustaoletukset näkyviksi, mikä auttaa tiimejä priorisoimaan realistiset riskit irrallisten hälytysten sijaan.

Ennen havainnon esiin tuomista Codex Security yrittää toistaa sen eristetyssä ympäristössä. Validoija tallentaa toistotulokset, suorituksen yksityiskohdat ja proof-of-concept-artefaktit, jotta tiimit voivat keskittyä havaintoihin, joiden on todella osoitettu toimivan.

Validoitujen havaintojen osalta Codex Security ehdottaa minimaalista korjausta, joka puuttuu juurisyyhyn. Se ei muokkaa koodiasi automaattisesti. Sen sijaan korjaus tuodaan esiin ihmisen tarkistettavaksi, ja siitä voidaan tehdä muutospyyntö nykyisessä työnkulussasi.

Aloittaminen

  1. Siirry osoitteeseen chatgpt.com/codex/security.

  2. Yhdistä ne GitHub-repositoriot, jotka haluat Codex Securityn skannaavan, ja ota ne käyttöön.

  3. Odota, että alkuperäinen skannaus valmistuu. Codex Security rakentaa ensin projektin uhkamallin ja skannaa repositorion historian olemassa olevien haavoittuvuuksien varalta. Tämä voi kestää pidempään suurissa projekteissa. Uuden koodin skannaukset ovat nopeampia.

  4. Tarkista havainnot, validoinnin yksityiskohdat ja ehdotetut korjaukset.

Roolipohjaiset käyttöoikeudet (RBAC)

Enterprise- ja Edu-työtiloissa ylläpitäjät voivat hallita Codex Securityn käyttöoikeuksia työtilan käyttöoikeusasetuksissa. Codex Security edellyttää, että sekä Codex Cloudin että Codex Securityn käyttöoikeus on otettu työtilassa käyttöön. Käyttöä voidaan myös rajoittaa tiettyihin rooleihin tai ryhmiin RBAC:n kautta, mukaan lukien SCIM-synkronoidut ryhmät. Jos haluat antaa jäsenille oikeuden hallita Codex Securityn skannausmäärityksiä, ota käyttöön myös Codex Securityn ylläpitäjäoikeus sopivalle roolille tai ryhmälle.

Päivitä työtilasi käyttöoikeudet näin:

  1. Napsauta ChatGPT:ssä profiilikuvakettasi ja valitse Workspace Settings -> Permissions siirtyäksesi workspace permissions-sivulle.

  2. Vieritä alas kohtaan Codex Cloud.

  3. Varmista, että Codex Cloudin käyttöoikeus on käytössä.

  4. Ota käyttö käyttöön tai pois käytöstä vaihtamalla asetusta Allow members to use Codex Security.

  5. Jos roolin tai ryhmän pitäisi hallita skannausmäärityksiä, ota käyttöön myös Allow members to administer Codex Security.

Lue lisää roolipohjaisista käyttöoikeuksista ChatGPT-työtilassasi.

Parhaat käytännöt

  • Aloita pienellä joukolla repositorioita ja erillisellä tarkistajaryhmällä. Suosittelemme aluksi kohdennettua käyttöönottoa, etenkin kun perehdytys ja haavoittuvuuksien jakaminen ovat vielä suhteellisen manuaalisia.

  • Tarkenna uhkamallia oppimisen myötä. Pienet päivitykset malliin voivat ajan mittaan parantaa kontekstia ja tehdä havainnoista tarkempia.

  • Jos et käytä GitHub Cloudia tällä hetkellä, harkitse arvioinnin aloittamista pienemmän riskin tai ei-tuotantorepositorioilla. Se voi auttaa tiimejä luottamaan työnkulkuun ennen laajempaa käyttöönottoa.

  • Tarkista luotujen korjaus-PR:ien normaalin tarkistusprosessisi mukaisesti. Suosittelemme myös käyttämään Codex Code Review’ta Codex Securityn PR:ien yhteydessä, jotta korjaaminen ei aiheuta regressioita.

UKK

Muuttaako Codex Security koodiani automaattisesti?

Ei. Codex Security ehdottaa korjausta ihmisen tarkistettavaksi. Ehdotuksesta voidaan tehdä muutospyyntö, mutta se ei muokkaa koodiasi automaattisesti.

Perustuuko Codex Security fuzzaukseen tai signatuuripohjaiseen skannaukseen?

Ei. Codex Security käyttää kielimallin päättelyä, testiaikaista laskentaa, työkalujen käyttöä ja laajaa kontekstia fuzzauksen tai signatuuripohjaisen skannauksen sijaan.

Voinko tarkastella tai muokata uhkamallia?

Kyllä. Uhkamalli on näkyvissä ja muokattavissa, joten tiimit voivat tarkastella, miten Codex Security ymmärtää sovelluksen, ja päivittää oletuksia ympäristöään vastaaviksi.

Mitä validointi tarkoittaa?

Validointi on vaihe, jossa Codex Security yrittää toistaa mahdollisen haavoittuvuuden eristetyssä ympäristössä ennen sen esiin tuomista. Tämän tarkoitus on vähentää vääriä positiivisia tuloksia ja pitää havainnot laadukkaina.

Mitä tapahtuu, kun havainto on validoitu?

Validoinnin jälkeen Codex Security ehdottaa korjausta, joka puuttuu juurisyyhyn ja josta voidaan tehdä muutospyyntö tarkistusta varten.

Oliko tästä artikkelista apua?