OpenAI
Cette page a été traduite automatiquement. Afficher l’article original en anglais.

Sécurité Codex

Mise à jour : 8 days ago

Codex Security est un aperçu de recherche offert aux utilisateurs de ChatGPT Enterprise, Edu, Business et Pro. Il aide les équipes à repérer, à valider et à corriger les vulnérabilités dans le code. Il est conçu pour fonctionner davantage comme un chercheur en sécurité que comme un analyseur traditionnel : il lit le code, exécute des tests, explore des chemins d’attaque réalistes et propose des correctifs que les équipes peuvent examiner dans leur flux de travail habituel.

Aperçu

Aujourd’hui, Codex Security se connecte directement aux dépôts GitHub. Après l’activation d’un dépôt, il crée un modèle de menace propre à la base de code, analyse l’historique du dépôt, valide les vulnérabilités potentielles dans un environnement isolé et présente des correctifs proposés aux fins d’examen par une personne.

Codex Security repose sur trois étapes : l’identification, la validation et la correction. Lors de l’identification, il analyse le dépôt et explore des chemins d’attaque réalistes. Lors de la validation, il tente de reproduire chaque problème pour confirmer qu’il est réel. Lors de la correction, il génère un correctif concret que les équipes peuvent examiner et transformer en pull request.

Fonctionnement de Codex Security

Lorsque Codex Security se connecte à un dépôt, il analyse les commits en ordre chronologique inverse et crée un modèle de menace propre à la base de code. Ce modèle saisit les points d’entrée des attaquants, les frontières de confiance, les données sensibles et les chemins de code à fort impact, que Codex utilise pour concentrer l’analyse sur des scénarios d’attaque réalistes. Les équipes peuvent inspecter et modifier le modèle de menace afin qu’il reflète leurs hypothèses réelles de déploiement.

Codex Security suit un flux de travail de correction en boucle fermée :

  1. Analyser le dépôt : Codex se connecte à votre dépôt GitHub, analyse la base de code et crée un modèle de menace à partir du dépôt et de l’historique des commits.

  2. Découvrir les vulnérabilités : À l’aide de ce modèle de menace, Codex explore des chemins de code réalistes et repère les vulnérabilités potentielles.

  3. Valider dans un bac à sable : Codex exécute un validateur automatisé dans un environnement isolé afin de reproduire le problème, de saisir les détails d’exécution et de confirmer l’exploitabilité avant de présenter le constat.

  4. Générer un correctif : Pour les vulnérabilités validées, Codex produit une suggestion de correctif minimale qui traite la cause profonde.

  5. Examen humain et pull request : Le correctif ne modifie pas automatiquement votre code. Il est présenté aux fins d’examen par une personne et peut être transformé en pull request pour votre flux de travail habituel.

  6. Revalider après la correction : Après qu’un problème confirmé est corrigé et fusionné, Codex peut revalider le correctif, bouclant ainsi la boucle de la détection à la correction.

Pour chaque constat, Codex Security peut produire une analyse du chemin d’attaque qui montre comment une entrée contrôlée par un attaquant pourrait passer d’un point d’entrée à un résultat sensible. Il évalue ce chemin selon la probabilité et l’impact, et rend visibles les hypothèses sous-jacentes, ce qui aide les équipes à prioriser les risques réalistes plutôt que les alertes isolées.

Avant de présenter un constat, Codex Security tente de le reproduire dans un environnement isolé. Le validateur consigne les résultats de reproduction, les détails d’exécution et les artéfacts de preuve de concept afin que les équipes puissent se concentrer sur les constats dont le fonctionnement a réellement été démontré.

Pour les constats validés, Codex Security propose un correctif minimal qui traite la cause profonde. Il ne modifie pas automatiquement votre code. Le correctif est plutôt présenté aux fins d’examen par une personne et peut être transformé en pull request dans votre flux de travail existant.

Commencer

  1. Accédez à Codex Security.

  2. Connectez et activez les dépôts GitHub que vous voulez que Codex Security analyse.

  3. Attendez la fin de l’analyse initiale. Codex Security commence par créer un modèle de menace pour le projet et analyse l’historique du dépôt afin de trouver des vulnérabilités existantes. Cela peut prendre plus de temps pour les grands projets. Les analyses du nouveau code sont plus rapides.

  4. Examinez les constats, les détails de validation et les correctifs proposés.

Contrôles d’accès basés sur les rôles (RBAC)

Pour les espaces de travail Enterprise et Edu, les administrateurs peuvent gérer l’accès à Codex Security dans les autorisations de l’espace de travail. Codex Security exige que l’accès à Codex Cloud et à Codex Security soit activé pour l’espace de travail. L’accès peut aussi être limité à des rôles ou à des groupes précis au moyen du RBAC, y compris les groupes synchronisés avec SCIM. Pour permettre aux membres de gérer les configurations d’analyse de Codex Security, activez également l’autorisation d’administration de Codex Security pour le rôle ou le groupe approprié.

Pour mettre à jour les autorisations de votre espace de travail :

  1. Dans ChatGPT, sélectionnez l’icône de votre profil, puis Paramètres de l’espace de travail > Autorisations pour ouvrir les autorisations de l’espace de travail.

  2. Faites défiler jusqu’à Codex Cloud.

  3. Assurez-vous que l’accès à Codex Cloud est activé.

  4. Activez ou désactivez l’accès en basculant Autoriser les membres à utiliser Codex Security.

  5. Si le rôle ou le groupe doit gérer les configurations d’analyse, activez également Autoriser les membres à administrer Codex Security.

En savoir plus sur les contrôles d’accès basés sur les rôles dans votre espace de travail ChatGPT.

Pratiques exemplaires

  • Commencez par un petit ensemble de dépôts et un groupe dédié de réviseurs. Nous recommandons un déploiement ciblé au début, surtout pendant que l’intégration et le partage des vulnérabilités sont encore relativement manuels.

  • Affinez le modèle de menace à mesure que vous apprenez. De petites mises à jour du modèle peuvent améliorer le contexte et rendre les constats plus précis au fil du temps.

  • Si vous n’utilisez pas GitHub Cloud aujourd’hui, envisagez de commencer par des dépôts à faible risque ou hors production pour l’évaluation. Cela peut aider les équipes à gagner en confiance dans le flux de travail avant une adoption plus large.

  • Examinez les PR de correctifs générés avec votre processus d’examen habituel. Nous recommandons aussi d’utiliser Codex Code Review sur les PR de Codex Security afin que la correction n’introduise pas de régressions.

FAQ

Codex Security modifie-t-il automatiquement mon code?

Non. Codex Security propose un correctif qui doit être examiné par une personne. Cette proposition peut être transformée en pull request, mais elle ne modifie pas automatiquement votre code.

Codex Security s’appuie-t-il sur le fuzzing ou l’analyse basée sur des signatures?

Non. Codex Security utilise le raisonnement de modèles de langage, le calcul au moment du test, l’utilisation d’outils et un grand contexte, plutôt que le fuzzing ou l’analyse basée sur des signatures.

Puis-je inspecter ou modifier le modèle de menace?

Oui. Le modèle de menace est visible et modifiable, ce qui permet aux équipes d’inspecter la façon dont Codex Security comprend l’application et de mettre à jour les hypothèses afin qu’elles correspondent à leur environnement.

Que signifie la validation?

La validation est l’étape où Codex Security tente de reproduire une vulnérabilité potentielle dans un environnement isolé avant de la présenter. Cela vise à réduire les faux positifs et à faire en sorte que les constats restent très pertinents.

Que se passe-t-il après la validation d’un constat?

Après la validation, Codex Security propose un correctif qui traite la cause profonde et qui peut être transformé en pull request aux fins d’examen.

Cet article vous a-t-il été utile?