OpenAI
Halaman ini diterjemahkan oleh mesin. Lihat artikel asli dalam bahasa Inggris.

Keamanan Codex

Diperbarui: 8 days ago

Codex Security adalah pratinjau riset yang tersedia bagi pengguna ChatGPT Enterprise, Edu, Business, dan Pro. Ini membantu tim mengidentifikasi, memvalidasi, dan meremediasi kerentanan dalam kode. Ini dirancang untuk bekerja lebih seperti peneliti keamanan daripada pemindai tradisional: membaca kode, menjalankan pengujian, menjelajahi jalur serangan yang realistis, dan mengusulkan patch yang dapat ditinjau tim dalam alur kerja normal mereka.

Gambaran umum

Saat ini, Codex Security terhubung langsung ke repositori GitHub. Setelah Anda mengaktifkan repositori, sistem membangun model ancaman khusus codebase, memindai riwayat repositori, memvalidasi potensi kerentanan di lingkungan terisolasi, dan menampilkan perbaikan yang diusulkan untuk ditinjau manusia.

Codex Security dibangun di sekitar tiga tahap: identifikasi, validasi, dan remediasi. Selama identifikasi, sistem menganalisis repositori dan menjelajahi jalur serangan yang realistis. Selama validasi, sistem mencoba mereproduksi setiap masalah untuk memastikan bahwa masalah tersebut nyata. Selama remediasi, sistem menghasilkan patch konkret yang dapat ditinjau tim dan diajukan menjadi pull request.

Cara kerja Codex Security

Ketika Codex Security terhubung ke repositori, sistem memindai commit dalam urutan kronologis terbalik dan membangun model ancaman khusus codebase. Model tersebut menangkap titik masuk penyerang, batas kepercayaan, data sensitif, dan jalur kode berdampak tinggi, yang digunakan Codex untuk memfokuskan analisis pada skenario serangan realistis. Tim dapat memeriksa dan mengedit model ancaman agar mencerminkan asumsi deployment nyata mereka.

Codex Security mengikuti alur kerja remediasi loop tertutup:

  1. Pindai repositori: Codex terhubung ke repositori GitHub Anda, menganalisis codebase, dan membangun model ancaman dari repositori serta riwayat commit.

  2. Temukan kerentanan: Dengan menggunakan model ancaman tersebut, Codex menjelajahi jalur kode yang realistis dan mengidentifikasi potensi kerentanan.

  3. Validasi di sandbox: Codex menjalankan validator otomatis di lingkungan terisolasi untuk mereproduksi masalah, menangkap detail eksekusi, dan memastikan kemungkinan eksploitasi sebelum menampilkan temuan.

  4. Buat patch: Untuk kerentanan yang divalidasi, Codex menghasilkan saran patch minimal yang menangani akar penyebab.

  5. Peninjauan manusia dan pull request: Patch tidak otomatis memodifikasi kode Anda. Patch ditampilkan untuk ditinjau manusia dan dapat diubah menjadi pull request untuk alur kerja normal Anda.

  6. Validasi ulang setelah remediasi: Setelah masalah yang dikonfirmasi dipatch dan digabungkan, Codex dapat memvalidasi ulang perbaikan, menutup loop dari deteksi hingga remediasi.

Untuk setiap temuan, Codex Security dapat menghasilkan analisis jalur serangan yang menunjukkan bagaimana input yang dikendalikan penyerang dapat bergerak dari titik masuk ke hasil sensitif. Sistem memberi skor pada jalur tersebut berdasarkan kemungkinan dan dampak serta membuat asumsi yang mendasarinya terlihat, sehingga membantu tim memprioritaskan risiko realistis dibandingkan peringatan terisolasi.

Sebelum menampilkan temuan, Codex Security mencoba mereproduksinya di lingkungan terisolasi. Validator mencatat hasil reproduksi, detail eksekusi, dan artefak bukti konsep sehingga tim dapat berfokus pada temuan yang benar-benar terbukti berfungsi.

Untuk temuan yang divalidasi, Codex Security mengusulkan patch minimal yang menangani akar penyebab. Sistem tidak otomatis memodifikasi kode Anda. Sebagai gantinya, patch ditampilkan untuk ditinjau manusia dan dapat diubah menjadi pull request dalam alur kerja Anda yang sudah ada.

Mulai

  1. Buka Codex Security.

  2. Hubungkan dan aktifkan repositori GitHub yang ingin Anda pindai dengan Codex Security.

  3. Tunggu hingga pemindaian awal selesai. Codex Security pertama-tama membangun model ancaman untuk proyek dan memindai riwayat repositori untuk mencari kerentanan yang ada. Ini dapat memakan waktu lebih lama untuk proyek besar. Pemindaian kode baru lebih cepat.

  4. Tinjau temuan, detail validasi, dan patch yang diusulkan.

Kontrol akses berbasis peran (RBAC)

Untuk workspace Enterprise dan Edu, admin dapat mengelola akses Codex Security di izin workspace. Codex Security mengharuskan akses Codex Cloud dan Codex Security diaktifkan untuk workspace. Akses juga dapat dibatasi ke peran atau grup tertentu melalui RBAC, termasuk grup yang disinkronkan SCIM. Agar anggota dapat mengelola konfigurasi pemindaian Codex Security, aktifkan juga izin admin Codex Security untuk peran atau grup yang sesuai.

Untuk memperbarui izin workspace Anda:

  1. Di ChatGPT, pilih ikon profil Anda, lalu pilih Pengaturan Workspace > Izin untuk membuka izin workspace.

  2. Gulir ke bawah ke Codex Cloud.

  3. Pastikan akses Codex Cloud diaktifkan.

  4. Aktifkan atau nonaktifkan akses dengan mengalihkan Izinkan anggota menggunakan Codex Security.

  5. Jika peran atau grup harus mengelola konfigurasi pemindaian, aktifkan juga Izinkan anggota mengelola Codex Security.

Pelajari selengkapnya tentang kontrol akses berbasis peran di workspace ChatGPT Anda.

Praktik terbaik

  • Mulailah dengan sekumpulan kecil repositori dan grup peninjau khusus. Kami merekomendasikan peluncuran yang terfokus pada awalnya, terutama saat onboarding dan berbagi kerentanan masih relatif manual.

  • Sempurnakan model ancaman seiring pembelajaran Anda. Pembaruan kecil pada model dapat meningkatkan konteks dan membuat temuan lebih presisi dari waktu ke waktu.

  • Jika saat ini Anda tidak menggunakan GitHub Cloud, pertimbangkan untuk memulai dengan repositori berisiko lebih rendah atau non-produksi untuk evaluasi. Hal itu dapat membantu tim membangun kepercayaan pada alur kerja sebelum adopsi yang lebih luas.

  • Tinjau PR patch yang dihasilkan dengan proses peninjauan normal Anda. Kami juga merekomendasikan penggunaan Codex Code Review pada PR Codex Security agar remediasi tidak menimbulkan regresi.

FAQ

Apakah Codex Security otomatis mengubah kode saya?

Tidak. Codex Security mengusulkan patch untuk ditinjau manusia. Usulan itu dapat diubah menjadi pull request, tetapi tidak otomatis memodifikasi kode Anda.

Apakah Codex Security mengandalkan fuzzing atau pemindaian berbasis tanda tangan?

Tidak. Codex Security menggunakan penalaran model bahasa, komputasi saat pengujian, penggunaan alat, dan konteks besar, bukan fuzzing atau pemindaian berbasis tanda tangan.

Dapatkah saya memeriksa atau mengedit model ancaman?

Ya. Model ancaman dapat dilihat dan diedit, sehingga tim dapat memeriksa bagaimana Codex Security memahami aplikasi dan memperbarui asumsi agar sesuai dengan lingkungan mereka.

Apa arti validasi?

Validasi adalah langkah ketika Codex Security mencoba mereproduksi potensi kerentanan di lingkungan terisolasi sebelum menampilkannya. Ini dimaksudkan untuk mengurangi positif palsu dan menjaga temuan tetap bernilai tinggi.

Apa yang terjadi setelah temuan divalidasi?

Setelah validasi, Codex Security mengusulkan patch yang menangani akar penyebab dan dapat diubah menjadi pull request untuk ditinjau.

Apakah artikel ini membantu?