OpenAI
Cette page a été traduite automatiquement. Afficher l’article original en anglais.

Sécurité Codex

Dernière mise à jour : 8 days ago

Codex Security est un aperçu de recherche disponible pour les utilisateurs de ChatGPT Enterprise, Edu, Business et Pro. Il aide les équipes à identifier, valider et corriger les vulnérabilités dans le code. Il est conçu pour fonctionner davantage comme un chercheur en sécurité que comme un scanner traditionnel : il lit le code, exécute des tests, explore des chemins d’attaque réalistes et propose des correctifs que les équipes peuvent examiner dans leur workflow habituel.

Vue d’ensemble

Aujourd’hui, Codex Security se connecte directement aux dépôts GitHub. Après l’activation d’un dépôt, il crée un modèle de menace propre à la base de code, analyse l’historique du dépôt, valide les vulnérabilités potentielles dans un environnement isolé et présente des correctifs proposés à examiner par un humain.

Codex Security s’articule autour de trois étapes : l’identification, la validation et la correction. Lors de l’identification, il analyse le dépôt et explore des chemins d’attaque réalistes. Lors de la validation, il tente de reproduire chaque problème afin de confirmer qu’il est réel. Lors de la correction, il génère un correctif concret que les équipes peuvent examiner et transformer en pull request.

Fonctionnement de Codex Security

Lorsque Codex Security se connecte à un dépôt, il analyse les commits dans l’ordre chronologique inverse et crée un modèle de menace propre à la base de code. Ce modèle capture les points d’entrée des attaquants, les frontières de confiance, les données sensibles et les chemins de code à fort impact, que Codex utilise pour concentrer l’analyse sur des scénarios d’attaque réalistes. Les équipes peuvent inspecter et modifier le modèle de menace afin qu’il reflète leurs hypothèses de déploiement réelles.

Codex Security suit un workflow de correction en boucle fermée :

  1. Analyser le dépôt : Codex se connecte à votre dépôt GitHub, analyse la base de code et crée un modèle de menace à partir du dépôt et de l’historique des commits.

  2. Découvrir les vulnérabilités : À l’aide de ce modèle de menace, Codex explore des chemins de code réalistes et identifie des vulnérabilités potentielles.

  3. Valider dans un bac à sable : Codex exécute un validateur automatisé dans un environnement isolé pour reproduire le problème, capturer les détails d’exécution et confirmer l’exploitabilité avant de signaler le constat.

  4. Générer un correctif : Pour les vulnérabilités validées, Codex produit une proposition de correctif minimale qui traite la cause racine.

  5. Examen humain et pull request : Le correctif ne modifie pas automatiquement votre code. Il est présenté pour examen par un humain et peut être transformé en pull request pour votre workflow habituel.

  6. Revalider après correction : Une fois qu’un problème confirmé est corrigé et fusionné, Codex peut revalider le correctif, bouclant ainsi le cycle de la détection à la correction.

Pour chaque constat, Codex Security peut produire une analyse du chemin d’attaque qui montre comment une entrée contrôlée par un attaquant pourrait passer d’un point d’entrée à un résultat sensible. Il évalue ce chemin selon la probabilité et l’impact, et rend visibles les hypothèses sous-jacentes, ce qui aide les équipes à prioriser les risques réalistes plutôt que les alertes isolées.

Avant de signaler un constat, Codex Security tente de le reproduire dans un environnement isolé. Le validateur enregistre les résultats de reproduction, les détails d’exécution et les artefacts de preuve de concept afin que les équipes puissent se concentrer sur les constats dont le fonctionnement a effectivement été démontré.

Pour les constats validés, Codex Security propose un correctif minimal qui traite la cause racine. Il ne modifie pas automatiquement votre code. À la place, le correctif est présenté pour examen par un humain et peut être transformé en pull request dans votre workflow existant.

Bien démarrer

  1. Accédez à Codex Security.

  2. Connectez et activez les dépôts GitHub que vous souhaitez faire analyser par Codex Security.

  3. Attendez la fin de l’analyse initiale. Codex Security commence par créer un modèle de menace pour le projet et analyser l’historique du dépôt à la recherche de vulnérabilités existantes. Cela peut prendre plus de temps pour les grands projets. Les analyses du nouveau code sont plus rapides.

  4. Examinez les constats, les détails de validation et les correctifs proposés.

Contrôles d’accès basés sur les rôles (RBAC)

Pour les espaces de travail Enterprise et Edu, les administrateurs peuvent gérer l’accès à Codex Security dans les autorisations de l’espace de travail. Codex Security nécessite que les accès à Codex Cloud et à Codex Security soient tous deux activés pour l’espace de travail. L’accès peut également être limité à des rôles ou groupes spécifiques via RBAC, y compris les groupes synchronisés avec SCIM. Pour permettre aux membres de gérer les configurations d’analyse de Codex Security, activez également l’autorisation d’administration Codex Security pour le rôle ou le groupe approprié.

Pour mettre à jour les autorisations de votre espace de travail :

  1. Dans ChatGPT, sélectionnez l’icône de votre profil, puis Paramètres de l’espace de travail > Autorisations pour ouvrir les autorisations de l’espace de travail.

  2. Faites défiler jusqu’à Codex Cloud.

  3. Assurez-vous que l’accès à Codex Cloud est activé.

  4. Activez ou désactivez l’accès en basculant Autoriser les membres à utiliser Codex Security.

  5. Si le rôle ou le groupe doit gérer les configurations d’analyse, activez également Autoriser les membres à administrer Codex Security.

En savoir plus sur les contrôles d’accès basés sur les rôles dans votre espace de travail ChatGPT.

Bonnes pratiques

  • Commencez par un petit ensemble de dépôts et un groupe dédié de réviseurs. Nous recommandons un déploiement ciblé au départ, en particulier tant que l’intégration et le partage des vulnérabilités restent encore relativement manuels.

  • Affinez le modèle de menace au fil de votre apprentissage. De petites mises à jour du modèle peuvent améliorer le contexte et rendre les constats plus précis au fil du temps.

  • Si vous n’utilisez pas GitHub Cloud aujourd’hui, envisagez de commencer par des dépôts à moindre risque ou hors production pour l’évaluation. Cela peut aider les équipes à gagner en confiance dans le workflow avant une adoption plus large.

  • Examinez les PR de correctifs générées avec votre processus d’examen habituel. Nous recommandons également d’utiliser Codex Code Review sur les PR Codex Security afin que la correction n’introduise pas de régressions.

FAQ

Codex Security modifie-t-il automatiquement mon code ?

Non. Codex Security propose un correctif à examiner par un humain. Cette proposition peut être transformée en pull request, mais elle ne modifie pas automatiquement votre code.

Codex Security s’appuie-t-il sur le fuzzing ou l’analyse basée sur des signatures ?

Non. Codex Security utilise le raisonnement des modèles de langage, le calcul au moment du test, l’utilisation d’outils et un grand contexte, plutôt que le fuzzing ou l’analyse basée sur des signatures.

Puis-je inspecter ou modifier le modèle de menace ?

Oui. Le modèle de menace est visible et modifiable, ce qui permet aux équipes d’inspecter la façon dont Codex Security comprend l’application et de mettre à jour les hypothèses afin qu’elles correspondent à leur environnement.

Que signifie la validation ?

La validation est l’étape au cours de laquelle Codex Security tente de reproduire une vulnérabilité potentielle dans un environnement isolé avant de la signaler. Cela vise à réduire les faux positifs et à conserver des constats très pertinents.

Que se passe-t-il après la validation d’un constat ?

Après validation, Codex Security propose un correctif qui traite la cause racine et peut être transformé en pull request pour examen.

Cet article vous a-t-il été utile ?