A Codex Security egy kutatási előzetes, amely segít a csapatoknak a kódban található sérülékenységek azonosításában, ellenőrzésében és javításában. Úgy tervezték, hogy inkább egy biztonsági kutatóhoz hasonlóan működjön, mint egy hagyományos szkenner: olvassa a kódot, teszteket futtat, valósághű támadási útvonalakat vizsgál, és javításokat javasol, amelyeket a csapatok a megszokott munkafolyamatukban felülvizsgálhatnak.
Áttekintés
Jelenleg a Codex Security közvetlenül GitHub-adattárakhoz csatlakozik. Miután engedélyez egy adattárat, felépít egy, a kódbázisra jellemző fenyegetési modellt, átvizsgálja az adattár előzményeit, ellenőrzi a lehetséges sérülékenységeket egy elkülönített környezetben, és javasolt javításokat jelenít meg emberi felülvizsgálatra.
A Codex Security három szakasz köré épül: azonosítás, ellenőrzés és javítás. Az azonosítás során elemzi az adattárat és valósághű támadási útvonalakat vizsgál. Az ellenőrzés során megpróbálja reprodukálni az egyes problémákat, hogy megerősítse, valódiak. A javítás során egy konkrét patchet hoz létre, amelyet a csapatok felülvizsgálhatnak, és lekéréses kérelemmé alakíthatnak.
Hogyan működik a Codex Security
Amikor a Codex Security csatlakozik egy adattárhoz, fordított időrendi sorrendben vizsgálja a commitokat, és létrehoz egy, a kódbázisra jellemző fenyegetési modellt. Ez a modell rögzíti a támadói belépési pontokat, a bizalmi határokat, az érzékeny adatokat és a nagy hatású kódútvonalakat, amelyeket a Codex arra használ, hogy az elemzést a valósághű támadási forgatókönyvekre összpontosítsa. A csapatok megtekinthetik és szerkeszthetik a fenyegetési modellt, hogy az tükrözze a valós telepítési feltételezéseiket.
A Codex Security zárt hurkú javítási munkafolyamatot követ:
Az adattár vizsgálata: A Codex csatlakozik a GitHub-adattárához, elemzi a kódbázist, és fenyegetési modellt épít az adattárból és a commitelőzményekből.
Sérülékenységek felfedezése: A Codex a fenyegetési modell alapján valósághű kódútvonalakat vizsgál, és azonosítja a lehetséges sérülékenységeket.
Ellenőrzés sandboxban: A Codex automatizált ellenőrzőt futtat egy elkülönített környezetben, hogy reprodukálja a problémát, rögzítse a végrehajtás részleteit, és megerősítse a kihasználhatóságot, mielőtt megjeleníti a megállapítást.
Patch létrehozása: Az ellenőrzött sérülékenységekhez a Codex egy minimális patchjavaslatot készít, amely a kiváltó okot kezeli.
Emberi felülvizsgálat és lekéréses kérelem: A patch nem módosítja automatikusan a kódját. Emberi felülvizsgálatra jelenik meg, és a szokásos munkafolyamatához lekéréses kérelemmé alakítható.
Újbóli ellenőrzés javítás után: Miután egy megerősített problémát kijavítottak és egyesítettek, a Codex újra ellenőrizheti a javítást, lezárva a kört az észleléstől a javításig.
Minden megállapításhoz a Codex Security képes támadási útvonal elemzést készíteni, amely megmutatja, hogyan juthat el a támadó által irányított bemenet egy belépési ponttól egy érzékeny kimenetig. Ezt az útvonalat valószínűség és hatás alapján pontozza, és láthatóvá teszi a mögöttes feltételezéseket, ami segít a csapatoknak abban, hogy az elszigetelt riasztások helyett a valós kockázásokat rangsorolják.
Mielőtt megjelenít egy megállapítást, a Codex Security megpróbálja reprodukálni azt egy elkülönített környezetben. Az ellenőrző rögzíti a reprodukálás eredményeit, a végrehajtás részleteit és a proof-of-concept műtermékeket, hogy a csapatok azokra a megállapításokra összpontosíthassanak, amelyekről ténylegesen bebizonyosodott, hogy működnek.
Az ellenőrzött megállapításokhoz a Codex Security egy minimális patch-et javasol, amely a kiváltó okot kezeli. Nem módosítja automatikusan a kódját. Ehelyett a patch emberi felülvizsgálatra jelenik meg, és a meglévő munkafolyamatában lekéréses kérelemmé alakítható.
Kezdés
Nyissa meg a chatgpt.com/codex/security oldalt.
Csatlakoztassa és engedélyezze azokat a GitHub-adattárakat, amelyeket a Codex Securityvel vizsgáltatni szeretne.
Várja meg, amíg az első vizsgálat befejeződik. A Codex Security először felépít egy fenyegetési modellt a projekthez, és átvizsgálja az adattár előzményeit meglévő sérülékenységek után kutatva. Ez nagy projektek esetén tovább tarthat. Az új kód vizsgálata gyorsabb.
Tekintse át a megállapításokat, az ellenőrzési részleteket és a javasolt patcheket.
Szerepköralapú hozzáférés-szabályozás (RBAC)
Enterprise és Edu munkaterületek esetén az adminok a munkaterület engedélyeinél kezelhetik a Codex Securityhez való hozzáférést. A Codex Security megköveteli, hogy a munkaterületen a Codex Cloud és a Codex Security hozzáférés is engedélyezve legyen. A hozzáférés RBAC segítségével meghatározott szerepkörökre vagy csoportokra is korlátozható, beleértve a SCIM-mel szinkronizált csoportokat is. Ahhoz, hogy a tagok kezelhessék a Codex Security vizsgálati konfigurációit, engedélyezze a Codex Security adminisztrátori engedélyt is a megfelelő szerepkör vagy csoport számára.
A munkaterület engedélyeinek frissítéséhez:
A ChatGPT-ben kattintson a profilikonjára, majd válassza a Workspace Settings -> Permissions lehetőséget, hogy a munkaterület-engedélyek oldalra jusson.
Görgessen le a Codex Cloud szakaszhoz.
Győződjön meg róla, hogy a Codex Cloud-hozzáférés engedélyezve van.
Kapcsolja be vagy ki a hozzáférést az Allow members to use Codex Security. beállítással.
Ha a szerepkörnek vagy csoportnak kezelnie kell a vizsgálati konfigurációkat, engedélyezze az Allow members to administer Codex Security. beállítást is.
Tudjon meg többet a ChatGPT-munkaterület szerepköralapú hozzáférés-szabályozásáról.
Ajánlott gyakorlatok
Kezdjen egy kisebb adattárkészlettel és egy dedikált felülvizsgálói csoporttal. Kezdetben célzott bevezetést javaslunk, különösen amíg a bevezetés és a sérülékenységek megosztása még viszonylag manuális.
Finomítsa a fenyegetési modellt a tanulás során. A modell kisebb frissítései javíthatják a kontextust, és idővel pontosabbá tehetik a megállapításokat.
Ha jelenleg nem használ GitHub Cloudot, fontolja meg, hogy alacsonyabb kockázatú vagy nem éles adattárakkal kezdi az értékelést. Ez segíthet a csapatoknak bizalmat építeni a munkafolyamat iránt, mielőtt szélesebb körben bevezetnék.
A létrehozott patch PR-eket a szokásos felülvizsgálati folyamatával ellenőrizze. Azt is javasoljuk, hogy használja a Codex Code Review-t a Codex Security PR-eken, hogy a javítás ne vezessen regressziókhoz.
GYIK
A Codex Security automatikusan megváltoztatja a kódomat?
Nem. A Codex Security egy patch-et javasol emberi felülvizsgálatra. Ez a javaslat lekéréses kérelemmé alakítható, de nem módosítja automatikusan a kódját.
A Codex Security fuzzingra vagy szignatúraalapú vizsgálatra támaszkodik?
Nem. A Codex Security a nyelvi modell érvelését, tesztidős számítási kapacitást, eszközhasználatot és nagy kontextust használ, nem pedig fuzzingot vagy szignatúraalapú vizsgálatot.
Megtekinthetem vagy szerkeszthetem a fenyegetési modellt?
Igen. A fenyegetési modell látható és szerkeszthető, így a csapatok megvizsgálhatják, hogyan értelmezi a Codex Security az alkalmazást, és frissíthetik a feltételezéseket, hogy illeszkedjenek a környezetükhöz.
Mit jelent az ellenőrzés?
Az ellenőrzés az a lépés, amikor a Codex Security megpróbál reprodukálni egy lehetséges sérülékenységet egy elkülönített környezetben, mielőtt megjelenítené azt. Ennek célja a téves pozitív találatok csökkentése és a nagy jelértékű megállapítások előtérben tartása.
Mi történik, miután egy megállapítást ellenőriztek?
Az ellenőrzés után a Codex Security egy olyan patch-et javasol, amely a kiváltó okot kezeli, és lekéréses kérelemmé alakítható felülvizsgálatra.