OpenAI
Halaman ini diterjemahkan oleh mesin. Lihat artikel asli dalam bahasa Inggris.

Keamanan Codex

Diperbarui: 7 days ago

Codex Security adalah pratinjau riset yang membantu tim mengidentifikasi, memvalidasi, dan memperbaiki kerentanan dalam kode. Produk ini dirancang untuk bekerja lebih seperti peneliti keamanan daripada pemindai tradisional: membaca kode, menjalankan pengujian, menelusuri jalur serangan yang realistis, dan mengusulkan patch yang dapat ditinjau tim dalam alur kerja normal mereka.

Gambaran umum

Saat ini, Codex Security terhubung langsung ke repositori GitHub. Setelah Anda mengaktifkan repositori, sistem ini membangun model ancaman yang spesifik untuk codebase, memindai riwayat repositori, memvalidasi potensi kerentanan di lingkungan terisolasi, dan menampilkan perbaikan yang diusulkan untuk tinjauan manusia.

Codex Security dibangun di sekitar tiga tahap: identifikasi, validasi, dan remediasi. Selama identifikasi, sistem menganalisis repositori dan menelusuri jalur serangan yang realistis. Selama validasi, sistem mencoba mereproduksi setiap masalah untuk memastikan bahwa masalah itu nyata. Selama remediasi, sistem menghasilkan patch konkret yang dapat ditinjau tim dan diajukan menjadi pull request.

Cara kerja Codex Security

Saat Codex Security terhubung ke repositori, sistem memindai commit dalam urutan kronologis terbalik dan membangun model ancaman yang spesifik untuk codebase. Model itu menangkap titik masuk penyerang, batas kepercayaan, data sensitif, dan jalur kode berdampak tinggi, yang digunakan Codex untuk memfokuskan analisis pada skenario serangan yang realistis. Tim dapat memeriksa dan mengedit model ancaman agar mencerminkan asumsi deployment mereka yang sebenarnya.

Codex Security mengikuti alur kerja remediasi tertutup:

  1. Pindai repositori: Codex terhubung ke repositori GitHub Anda, menganalisis codebase, dan membangun model ancaman dari repositori dan riwayat commit.

  2. Temukan kerentanan: Dengan menggunakan model ancaman tersebut, Codex menelusuri jalur kode yang realistis dan mengidentifikasi potensi kerentanan.

  3. Validasi di sandbox: Codex menjalankan validator otomatis di lingkungan terisolasi untuk mereproduksi masalah, menangkap detail eksekusi, dan mengonfirmasi kemungkinan eksploitasi sebelum menampilkan temuan.

  4. Hasilkan patch: Untuk kerentanan yang tervalidasi, Codex membuat saran patch minimal yang mengatasi akar penyebab.

  5. Tinjauan manusia dan pull request: Patch tidak secara otomatis mengubah kode Anda. Patch ditampilkan untuk tinjauan manusia dan dapat diubah menjadi pull request dalam alur kerja normal Anda.

  6. Validasi ulang setelah remediasi: Setelah masalah yang terkonfirmasi di-patch dan di-merge, Codex dapat memvalidasi ulang perbaikannya, menutup siklus dari deteksi hingga remediasi.

Untuk setiap temuan, Codex Security dapat menghasilkan analisis jalur serangan yang menunjukkan bagaimana input yang dikendalikan penyerang dapat berpindah dari titik masuk ke hasil sensitif. Sistem menilai jalur tersebut berdasarkan kemungkinan dan dampak serta memperjelas asumsi yang mendasarinya, sehingga membantu tim memprioritaskan risiko yang realistis dibanding peringatan yang terisolasi.

Sebelum menampilkan temuan, Codex Security mencoba mereproduksinya di lingkungan terisolasi. Validator merekam hasil reproduksi, detail eksekusi, dan artefak proof-of-concept agar tim dapat fokus pada temuan yang benar-benar telah terbukti berfungsi.

Untuk temuan yang tervalidasi, Codex Security mengusulkan patch minimal yang mengatasi akar penyebab. Sistem ini tidak secara otomatis mengubah kode Anda. Sebaliknya, patch ditampilkan untuk tinjauan manusia dan dapat diubah menjadi pull request dalam alur kerja Anda yang sudah ada.

Memulai

  1. Buka chatgpt.com/codex/security.

  2. Hubungkan dan aktifkan repositori GitHub yang ingin Anda pindai dengan Codex Security.

  3. Tunggu hingga pemindaian awal selesai. Codex Security mula-mula membangun model ancaman untuk proyek dan memindai riwayat repositori untuk kerentanan yang sudah ada. Ini dapat memakan waktu lebih lama untuk proyek besar. Pemindaian kode baru lebih cepat.

  4. Tinjau temuan, detail validasi, dan patch yang diusulkan.

Kontrol akses berbasis peran (RBAC)

Untuk workspace Enterprise dan Edu, admin dapat mengelola akses Codex Security di izin workspace. Codex Security mengharuskan akses Codex Cloud dan Codex Security sama-sama diaktifkan untuk workspace. Akses juga dapat dibatasi ke peran atau grup tertentu melalui RBAC, termasuk grup yang disinkronkan SCIM. Untuk memungkinkan anggota mengelola konfigurasi pemindaian Codex Security, aktifkan juga izin admin Codex Security untuk peran atau grup yang sesuai.

Untuk memperbarui izin workspace Anda:

  1. Di ChatGPT, klik ikon profil Anda dan pilih Workspace Settings -> Permissions untuk membuka halaman izin workspace.

  2. Gulir ke bawah ke Codex Cloud.

  3. Pastikan akses Codex Cloud diaktifkan.

  4. Aktifkan atau nonaktifkan akses dengan mengalihkan Izinkan anggota menggunakan Codex Security.

  5. Jika peran atau grup tersebut harus mengelola konfigurasi pemindaian, aktifkan juga Izinkan anggota mengelola Codex Security.

Pelajari lebih lanjut tentang kontrol akses berbasis peran di workspace ChatGPT Anda.

Praktik terbaik

  • Mulailah dengan sekumpulan kecil repositori dan grup peninjau khusus. Kami merekomendasikan peluncuran terbatas pada awalnya, terutama karena onboarding dan berbagi kerentanan masih relatif manual.

  • Sempurnakan model ancaman seiring pembelajaran Anda. Pembaruan kecil pada model dapat meningkatkan konteks dan membuat temuan lebih presisi dari waktu ke waktu.

  • Jika Anda saat ini tidak menggunakan GitHub Cloud, pertimbangkan untuk memulai dengan repositori berisiko rendah atau nonproduksi untuk evaluasi. Itu dapat membantu tim membangun kepercayaan terhadap alur kerja sebelum adopsi yang lebih luas.

  • Tinjau PR patch yang dihasilkan dengan proses tinjauan normal Anda. Kami juga merekomendasikan penggunaan Codex Code Review pada PR Codex Security agar remediasi tidak menimbulkan regresi.

FAQ

Apakah Codex Security otomatis mengubah kode saya?

Tidak. Codex Security mengusulkan patch untuk tinjauan manusia. Usulan tersebut dapat diubah menjadi pull request, tetapi tidak secara otomatis mengubah kode Anda.

Apakah Codex Security mengandalkan fuzzing atau pemindaian berbasis signature?

Tidak. Codex Security menggunakan penalaran language model, komputasi saat pengujian, penggunaan alat, dan konteks besar, bukan fuzzing atau pemindaian berbasis signature.

Bisakah saya memeriksa atau mengedit model ancaman?

Ya. Model ancaman dapat dilihat dan diedit, sehingga tim dapat memeriksa bagaimana Codex Security memahami aplikasi dan memperbarui asumsi agar sesuai dengan lingkungan mereka.

Apa yang dimaksud dengan validasi?

Validasi adalah langkah saat Codex Security mencoba mereproduksi potensi kerentanan di lingkungan terisolasi sebelum menampilkannya. Ini dimaksudkan untuk mengurangi false positive dan menjaga agar temuan tetap bernilai tinggi.

Apa yang terjadi setelah temuan divalidasi?

Setelah validasi, Codex Security mengusulkan patch yang mengatasi akar penyebab dan dapat diubah menjadi pull request untuk ditinjau.

Apakah artikel ini membantu?