Ang Codex Security ay isang research preview na available para sa mga user ng ChatGPT Enterprise, Edu, Business, at Pro. Tinutulungan nito ang mga team na tukuyin, i-validate, at ayusin ang mga kahinaan sa code. Idinisenyo itong gumana nang mas katulad ng isang security researcher kaysa tradisyonal na scanner: binabasa nito ang code, nagpapatakbo ng mga test, nag-e-explore ng makatotohanang attack path, at nagmumungkahi ng mga patch na maaaring i-review ng mga team sa kanilang karaniwang workflow.
Pangkalahatang-ideya
Sa ngayon, direktang kumokonekta ang Codex Security sa mga GitHub repository. Pagkatapos mong i-enable ang isang repository, gumagawa ito ng threat model na partikular sa codebase, ini-scan ang history ng repository, vine-validate ang mga posibleng kahinaan sa isang nakahiwalay na environment, at nagpapakita ng mga iminungkahing pag-aayos para sa review ng tao.
Nakabatay ang Codex Security sa tatlong yugto: pagtukoy, validation, at remediation. Sa pagtukoy, sinusuri nito ang repository at ine-explore ang mga makatotohanang attack path. Sa validation, sinusubukan nitong ulitin ang bawat isyu para kumpirmahing totoo ito. Sa remediation, bumubuo ito ng konkretong patch na maaaring i-review ng mga team at gawing pull request.
Paano gumagana ang Codex Security
Kapag kumonekta ang Codex Security sa isang repository, ini-scan nito ang mga commit sa reverse chronological order at gumagawa ng threat model na partikular sa codebase. Kinukuha ng modelong iyon ang mga entry point ng attacker, trust boundary, sensitibong data, at high-impact na mga code path, na ginagamit ng Codex para ituon ang pagsusuri sa makatotohanang mga attack scenario. Maaaring tingnan at i-edit ng mga team ang threat model para maipakita nito ang kanilang tunay na mga assumption sa deployment.
Sinusunod ng Codex Security ang closed-loop remediation workflow:
I-scan ang repository: Kumokonekta ang Codex sa iyong GitHub repository, sinusuri ang codebase, at gumagawa ng threat model mula sa repository at commit history.
Tuklasin ang mga kahinaan: Gamit ang threat model na iyon, ine-explore ng Codex ang makatotohanang mga code path at tinutukoy ang mga posibleng kahinaan.
I-validate sa isang sandbox: Nagpapatakbo ang Codex ng automated validator sa isang nakahiwalay na environment para ulitin ang isyu, kunin ang mga detalye ng execution, at kumpirmahin ang exploitability bago ilabas ang natuklasan.
Bumuo ng patch: Para sa mga na-validate na kahinaan, gumagawa ang Codex ng minimal na mungkahi ng patch na tumutugon sa ugat ng problema.
Review ng tao at pull request: Hindi awtomatikong binabago ng patch ang iyong code. Ipinapakita ito para sa review ng tao at maaaring gawing pull request para sa iyong karaniwang workflow.
I-revalidate pagkatapos ng remediation: Pagkatapos ma-patch at ma-merge ang isang nakumpirmang isyu, maaaring i-revalidate ng Codex ang pag-aayos, na nagsasara sa loop mula detection hanggang remediation.
Para sa bawat natuklasan, maaaring gumawa ang Codex Security ng pagsusuri ng attack path na nagpapakita kung paano maaaring gumalaw ang input na kontrolado ng attacker mula sa entry point patungo sa sensitibong resulta. Binibigyan nito ng score ang path na iyon batay sa posibilidad at epekto at ipinapakita ang mga pinagbabatayang assumption, na tumutulong sa mga team na unahin ang makatotohanang mga panganib kaysa mga hiwalay na alerto.
Bago ilabas ang isang natuklasan, sinusubukan ng Codex Security na ulitin ito sa isang nakahiwalay na environment. Itinatala ng validator ang mga resulta ng reproduction, detalye ng execution, at mga proof-of-concept artifact para makapagtuon ang mga team sa mga natuklasang napatunayang gumagana talaga.
Para sa mga na-validate na natuklasan, nagmumungkahi ang Codex Security ng minimal na patch na tumutugon sa ugat ng problema. Hindi nito awtomatikong binabago ang iyong code. Sa halip, ipinapakita ang patch para sa review ng tao at maaaring gawing pull request sa iyong kasalukuyang workflow.
Magsimula
Pumunta sa Codex Security.
Ikonekta at i-enable ang mga GitHub repository na gusto mong i-scan ng Codex Security.
Hintaying matapos ang paunang scan. Una munang gumagawa ang Codex Security ng threat model para sa proyekto at ini-scan ang history ng repository para sa mga umiiral na kahinaan. Maaaring mas tumagal ito para sa malalaking proyekto. Mas mabilis ang mga scan ng bagong code.
I-review ang mga natuklasan, detalye ng validation, at iminungkahing mga patch.
Mga kontrol sa access na batay sa tungkulin (RBAC)
Para sa mga Enterprise at Edu workspace, mapapamahalaan ng mga admin ang access sa Codex Security sa mga pahintulot ng workspace. Kinakailangan ng Codex Security na naka-enable ang parehong access sa Codex Cloud at Codex Security para sa workspace. Maaari ring limitahan ang access sa mga partikular na tungkulin o grupo sa pamamagitan ng RBAC, kabilang ang mga grupong naka-sync sa SCIM. Para hayaan ang mga miyembro na pamahalaan ang mga scan configuration ng Codex Security, i-enable din ang pahintulot ng admin ng Codex Security para sa angkop na tungkulin o grupo.
Para i-update ang mga pahintulot ng iyong workspace:
Sa ChatGPT, piliin ang icon ng iyong profile, pagkatapos ay piliin ang Mga Setting ng Workspace > Mga Pahintulot para buksan ang mga pahintulot ng workspace.
Mag-scroll pababa sa Codex Cloud.
Tiyaking naka-enable ang access sa Codex Cloud.
I-enable o i-disable ang access sa pamamagitan ng pag-toggle sa Payagan ang mga miyembro na gumamit ng Codex Security.
Kung dapat pamahalaan ng tungkulin o grupo ang mga scan configuration, i-enable din ang Payagan ang mga miyembro na pangasiwaan ang Codex Security.
Matuto pa tungkol sa mga kontrol sa access na batay sa tungkulin sa iyong ChatGPT workspace.
Pinakamahuhusay na kasanayan
Magsimula sa maliit na set ng mga repository at isang nakatalagang grupo ng mga reviewer. Inirerekomenda muna namin ang nakatuong rollout, lalo na habang medyo manual pa rin ang onboarding at pagbabahagi ng mga kahinaan.
Pinuhin ang threat model habang natututo kayo. Makakapagpahusay ng konteksto ang maliliit na update sa modelo at magagawang mas tumpak ang mga natuklasan sa paglipas ng panahon.
Kung hindi kayo gumagamit ng GitHub Cloud sa ngayon, isaalang-alang na magsimula sa mas mababang panganib o non-production na mga repository para sa evaluation. Makakatulong iyon sa mga team na magkaroon ng kumpiyansa sa workflow bago ang mas malawak na adoption.
I-review ang mga nabuong patch na PR gamit ang inyong karaniwang proseso ng review. Inirerekomenda rin naming gamitin ang Codex Code Review sa mga PR ng Codex Security para hindi magdulot ng regression ang remediation.
FAQ
Awtomatikong binabago ba ng Codex Security ang code ko?
Hindi. Nagmumungkahi ang Codex Security ng patch para sa review ng tao. Maaaring gawing pull request ang panukalang iyon, pero hindi nito awtomatikong binabago ang iyong code.
Umaasa ba ang Codex Security sa fuzzing o signature-based scanning?
Hindi. Gumagamit ang Codex Security ng pangangatwiran ng modelo ng wika, test-time compute, paggamit ng tool, at malaking context, sa halip na fuzzing o signature-based scanning.
Maaari ko bang tingnan o i-edit ang threat model?
Oo. Nakikita at nae-edit ang threat model, kaya maaaring tingnan ng mga team kung paano nauunawaan ng Codex Security ang application at i-update ang mga assumption para tumugma sa kanilang environment.
Ano ang ibig sabihin ng validation?
Ang validation ay hakbang kung saan sinusubukan ng Codex Security na ulitin ang isang posibleng kahinaan sa isang nakahiwalay na environment bago ito ilabas. Layunin nitong bawasan ang mga false positive at panatilihing mataas ang kalidad ng mga natuklasan.
Ano ang mangyayari pagkatapos ma-validate ang isang natuklasan?
Pagkatapos ng validation, nagmumungkahi ang Codex Security ng patch na tumutugon sa ugat ng problema at maaaring gawing pull request para sa review.
