A Codex Security kutatási előzetesként érhető el a ChatGPT Enterprise, Edu, Business és Pro felhasználói számára. Segít a csapatoknak azonosítani, validálni és kijavítani a kódban található sebezhetőségeket. Úgy tervezték, hogy inkább egy biztonsági kutatóhoz hasonlóan működjön, mint egy hagyományos szkennerhez: kódot olvas, teszteket futtat, valószerű támadási útvonalakat vizsgál, és olyan javításokat javasol, amelyeket a csapatok a szokásos munkafolyamatukban áttekinthetnek.
Áttekintés
A Codex Security jelenleg közvetlenül GitHub-adattárakhoz kapcsolódik. Miután engedélyez egy adattárat, létrehoz egy kódbázis-specifikus fenyegetési modellt, átvizsgálja az adattár előzményeit, izolált környezetben validálja a lehetséges sebezhetőségeket, és emberi felülvizsgálatra javasolt javításokat hoz felszínre.
A Codex Security három szakasz köré épül: azonosítás, validálás és javítás. Az azonosítás során elemzi az adattárat, és valószerű támadási útvonalakat vizsgál. A validálás során megpróbálja reprodukálni az egyes problémákat, hogy megerősítse, valódiak. A javítás során konkrét patchet generál, amelyet a csapatok áttekinthetnek és lekéréses kérelemmé emelhetnek.
A Codex Security működése
Amikor a Codex Security csatlakozik egy adattárhoz, fordított időrendi sorrendben vizsgálja a commitokat, és kódbázis-specifikus fenyegetési modellt épít. Ez a modell rögzíti a támadói belépési pontokat, a bizalmi határokat, az érzékeny adatokat és a nagy hatású kódútvonalakat, amelyeket a Codex arra használ, hogy az elemzést valószerű támadási forgatókönyvekre összpontosítsa. A csapatok megtekinthetik és szerkeszthetik a fenyegetési modellt, hogy az tükrözze a valós telepítési feltételezéseiket.
A Codex Security zárt hurkú javítási munkafolyamatot követ:
Az adattár vizsgálata: A Codex csatlakozik a GitHub-adattárához, elemzi a kódbázist, és fenyegetési modellt épít az adattárból és a commitelőzményekből.
Sebezhetőségek felfedezése: A fenyegetési modell használatával a Codex valószerű kódútvonalakat vizsgál, és azonosítja a lehetséges sebezhetőségeket.
Validálás sandboxban: A Codex automatikus validátort futtat egy izolált környezetben, hogy reprodukálja a problémát, rögzítse a végrehajtási részleteket, és megerősítse a kihasználhatóságot, mielőtt felszínre hozza a megállapítást.
Javítás generálása: A validált sebezhetőségekhez a Codex minimális javítási javaslatot készít, amely kezeli a kiváltó okot.
Emberi felülvizsgálat és lekéréses kérelem: A javítás nem módosítja automatikusan a kódot. Emberi felülvizsgálatra kerül felszínre, és lekéréses kérelemmé alakítható a szokásos munkafolyamatában.
Újravalidálás a javítás után: Miután egy megerősített problémát javítottak és beolvasztottak, a Codex újra validálhatja a javítást, lezárva a hurkot az észleléstől a javításig.
A Codex Security minden megállapításhoz támadási útvonal-elemzést készíthet, amely megmutatja, hogyan juthat el a támadó által vezérelt bemenet egy belépési ponttól egy érzékeny kimenetig. Valószínűség és hatás alapján pontozza ezt az útvonalat, és láthatóvá teszi a mögöttes feltételezéseket, ami segít a csapatoknak a valószerű kockázatokat előnyben részesíteni az elszigetelt riasztásokkal szemben.
Mielőtt felszínre hozna egy megállapítást, a Codex Security megpróbálja azt reprodukálni egy izolált környezetben. A validátor rögzíti a reprodukálási eredményeket, a végrehajtási részleteket és a proof-of-concept artefaktumokat, hogy a csapatok azokra a megállapításokra összpontosíthassanak, amelyekről ténylegesen bizonyították, hogy működnek.
A validált megállapításokhoz a Codex Security minimális javítást javasol, amely kezeli a kiváltó okot. Nem módosítja automatikusan a kódot. Ehelyett a javítás emberi felülvizsgálatra kerül felszínre, és a meglévő munkafolyamatában lekéréses kérelemmé alakítható.
Kezdés
Lépjen a Codex Security oldalra.
Csatlakoztassa és engedélyezze azokat a GitHub-adattárakat, amelyeket szeretne, hogy a Codex Security átvizsgáljon.
Várja meg, amíg a kezdeti vizsgálat befejeződik. A Codex Security először fenyegetési modellt épít a projekthez, és átvizsgálja az adattár előzményeit meglévő sebezhetőségek után. Nagy projektek esetén ez hosszabb ideig tarthat. Az új kód vizsgálatai gyorsabbak.
Tekintse át a megállapításokat, a validálási részleteket és a javasolt javításokat.
Szerepkör-alapú hozzáférés-vezérlés (RBAC)
Enterprise- és Edu-munkaterületek esetén az adminisztrátorok a munkaterületi engedélyekben kezelhetik a Codex Security-hozzáférést. A Codex Security használatához a munkaterületen a Codex Cloud- és a Codex Security-hozzáférést is engedélyezni kell. A hozzáférés RBAC-on keresztül adott szerepkörökre vagy csoportokra is korlátozható, beleértve a SCIM-szinkronizált csoportokat is. Ha engedélyezni szeretné a tagoknak a Codex Security vizsgálati konfigurációinak kezelését, engedélyezze a Codex Security adminisztrátori engedélyét is a megfelelő szerepkör vagy csoport számára.
A munkaterület engedélyeinek frissítéséhez:
A ChatGPT-ben válassza ki a profilikonját, majd válassza a Munkaterület beállításai > Engedélyek lehetőséget a munkaterületi engedélyek megnyitásához.
Görgessen le a Codex Cloud részhez.
Győződjön meg róla, hogy a Codex Cloud-hozzáférés engedélyezve van.
Engedélyezze vagy tiltsa le a hozzáférést a Tagok használhatják a Codex Securityt. kapcsolóval.
Ha a szerepkörnek vagy csoportnak kezelnie kell a vizsgálati konfigurációkat, engedélyezze a Tagok adminisztrálhatják a Codex Securityt. beállítást is.
Tudjon meg többet a szerepkör-alapú hozzáférés-vezérlésről a ChatGPT-munkaterületén.
Bevált gyakorlatok
Kezdje néhány adattárral és egy dedikált felülvizsgálói csoporttal. Eleinte célzott bevezetést javaslunk, különösen amíg az onboarding és a sebezhetőségek megosztása még viszonylag manuális.
Finomítsa a fenyegetési modellt, ahogy többet tanul. A modell kisebb frissítései javíthatják a kontextust, és idővel pontosabbá tehetik a megállapításokat.
Ha jelenleg nem használ GitHub Cloudot, értékeléshez fontolja meg alacsonyabb kockázatú vagy nem éles adattárakkal kezdeni. Ez segíthet a csapatoknak magabiztosságot építeni a munkafolyamatban a szélesebb körű bevezetés előtt.
A generált javítási PR-eket a szokásos felülvizsgálati folyamatával tekintse át. Azt is javasoljuk, hogy használja a Codex Code Review-t a Codex Security PR-jein, hogy a javítás ne vezessen be regressziókat.
GYIK
A Codex Security automatikusan módosítja a kódomat?
Nem. A Codex Security emberi felülvizsgálatra javasol javítást. Ez a javaslat lekéréses kérelemmé alakítható, de nem módosítja automatikusan a kódot.
A Codex Security fuzzingra vagy aláírásalapú vizsgálatra támaszkodik?
Nem. A Codex Security fuzzing vagy aláírásalapú vizsgálat helyett nyelvi modellalapú érvelést, tesztidőben végzett számítást, eszközhasználatot és nagy kontextust használ.
Megtekinthetem vagy szerkeszthetem a fenyegetési modellt?
Igen. A fenyegetési modell látható és szerkeszthető, így a csapatok megvizsgálhatják, hogyan érti a Codex Security az alkalmazást, és frissíthetik a feltételezéseket, hogy megfeleljenek a környezetüknek.
Mit jelent a validálás?
A validálás az a lépés, amelyben a Codex Security megpróbál reprodukálni egy lehetséges sebezhetőséget egy izolált környezetben, mielőtt felszínre hozná. Ennek célja a téves pozitív találatok csökkentése és a megállapítások magas jelértékének megőrzése.
Mi történik egy megállapítás validálása után?
A validálás után a Codex Security olyan javítást javasol, amely kezeli a kiváltó okot, és lekéréses kérelemmé alakítható át felülvizsgálatra.