OpenAI
Questa pagina è stata tradotta automaticamente. Visualizza l'articolo originale in inglese.

Sicurezza di Codex

Aggiornato: 8 days ago

Codex Security è un'anteprima di ricerca disponibile per gli utenti ChatGPT Enterprise, Edu, Business e Pro. Aiuta i team a identificare, convalidare e correggere le vulnerabilità nel codice. È progettato per funzionare più come un ricercatore di sicurezza che come uno scanner tradizionale: legge il codice, esegue test, esplora percorsi di attacco realistici e propone patch che i team possono rivedere nel loro normale flusso di lavoro.

Panoramica

Oggi Codex Security si connette direttamente ai repository GitHub. Dopo che abiliti un repository, crea un modello di minaccia specifico per la codebase, analizza la cronologia del repository, convalida le potenziali vulnerabilità in un ambiente isolato e mostra le correzioni proposte per la revisione umana.

Codex Security si basa su tre fasi: identificazione, convalida e correzione. Durante l'identificazione, analizza il repository ed esplora percorsi di attacco realistici. Durante la convalida, prova a riprodurre ogni problema per confermare che sia reale. Durante la correzione, genera una patch concreta che i team possono rivedere e trasformare in una pull request.

Come funziona Codex Security

Quando Codex Security si connette a un repository, analizza i commit in ordine cronologico inverso e crea un modello di minaccia specifico per la codebase. Quel modello acquisisce i punti di ingresso degli attaccanti, i confini di attendibilità, i dati sensibili e i percorsi di codice ad alto impatto, che Codex usa per concentrare l'analisi su scenari di attacco realistici. I team possono ispezionare e modificare il modello di minaccia affinché rifletta le loro ipotesi di distribuzione reali.

Codex Security segue un flusso di lavoro di correzione a ciclo chiuso:

  1. Analizza il repository: Codex si connette al tuo repository GitHub, analizza la codebase e crea un modello di minaccia dal repository e dalla cronologia dei commit.

  2. Scopri le vulnerabilità: usando quel modello di minaccia, Codex esplora percorsi di codice realistici e identifica potenziali vulnerabilità.

  3. Convalida in una sandbox: Codex esegue un validatore automatizzato in un ambiente isolato per riprodurre il problema, acquisire i dettagli di esecuzione e confermare la sfruttabilità prima di mostrare il risultato.

  4. Genera una patch: per le vulnerabilità convalidate, Codex produce un suggerimento di patch minimale che affronta la causa principale.

  5. Revisione umana e pull request: la patch non modifica automaticamente il tuo codice. Viene mostrata per la revisione umana e può essere trasformata in una pull request per il tuo normale flusso di lavoro.

  6. Riconvalida dopo la correzione: dopo che un problema confermato è stato corretto e unito, Codex può riconvalidare la correzione, chiudendo il ciclo dal rilevamento alla correzione.

Per ogni risultato, Codex Security può produrre un'analisi del percorso di attacco che mostra come l'input controllato dall'attaccante potrebbe spostarsi da un punto di ingresso a un esito sensibile. Assegna un punteggio a quel percorso in base a probabilità e impatto e rende visibili le ipotesi sottostanti, aiutando i team a dare priorità ai rischi realistici rispetto agli avvisi isolati.

Prima di mostrare un risultato, Codex Security prova a riprodurlo in un ambiente isolato. Il validatore registra i risultati di riproduzione, i dettagli di esecuzione e gli artefatti proof-of-concept, così i team possono concentrarsi sui risultati che hanno effettivamente dimostrato di funzionare.

Per i risultati convalidati, Codex Security propone una patch minimale che affronta la causa principale. Non modifica automaticamente il tuo codice. La patch viene invece mostrata per la revisione umana e può essere trasformata in una pull request nel tuo flusso di lavoro esistente.

Inizia

  1. Vai a Codex Security.

  2. Connetti e abilita i repository GitHub che vuoi far analizzare a Codex Security.

  3. Attendi il completamento della scansione iniziale. Codex Security crea innanzitutto un modello di minaccia per il progetto e analizza la cronologia del repository alla ricerca di vulnerabilità esistenti. Per i progetti di grandi dimensioni può richiedere più tempo. Le scansioni del nuovo codice sono più rapide.

  4. Esamina risultati, dettagli di convalida e patch proposte.

Controlli di accesso basati sui ruoli (RBAC)

Per le aree di lavoro Enterprise ed Edu, gli amministratori possono gestire l'accesso a Codex Security nelle autorizzazioni dell'area di lavoro. Codex Security richiede che siano abilitati sia l'accesso a Codex Cloud sia l'accesso a Codex Security per l'area di lavoro. L'accesso può anche essere limitato a ruoli o gruppi specifici tramite RBAC, inclusi i gruppi sincronizzati con SCIM. Per consentire ai membri di gestire le configurazioni di scansione di Codex Security, abilita anche l'autorizzazione di amministrazione di Codex Security per il ruolo o il gruppo appropriato.

Per aggiornare le autorizzazioni della tua area di lavoro:

  1. In ChatGPT, seleziona l'icona del tuo profilo, quindi seleziona Impostazioni area di lavoro > Autorizzazioni per aprire le autorizzazioni dell'area di lavoro.

  2. Scorri verso il basso fino a Codex Cloud.

  3. Assicurati che l'accesso a Codex Cloud sia abilitato.

  4. Abilita o disabilita l'accesso attivando o disattivando Consenti ai membri di usare Codex Security.

  5. Se il ruolo o il gruppo deve gestire le configurazioni di scansione, abilita anche Consenti ai membri di amministrare Codex Security.

Scopri di più sui controlli di accesso basati sui ruoli nella tua area di lavoro ChatGPT.

Best practice

  • Inizia con un piccolo insieme di repository e un gruppo dedicato di revisori. Consigliamo inizialmente un'implementazione mirata, soprattutto mentre l'onboarding e la condivisione delle vulnerabilità sono ancora relativamente manuali.

  • Perfeziona il modello di minaccia man mano che impari. Piccoli aggiornamenti al modello possono migliorare il contesto e rendere i risultati più precisi nel tempo.

  • Se oggi non usi GitHub Cloud, valuta di iniziare con repository a rischio inferiore o non di produzione per la valutazione. Questo può aiutare i team a prendere confidenza con il flusso di lavoro prima di un'adozione più ampia.

  • Rivedi le PR di patch generate con il tuo normale processo di revisione. Consigliamo inoltre di usare Codex Code Review sulle PR di Codex Security, in modo che la correzione non introduca regressioni.

Domande frequenti

Codex Security modifica automaticamente il mio codice?

No. Codex Security propone una patch per la revisione umana. Quella proposta può essere trasformata in una pull request, ma non modifica automaticamente il tuo codice.

Codex Security si basa sul fuzzing o sulla scansione basata su firme?

No. Codex Security usa il ragionamento dei modelli linguistici, il calcolo in fase di test, l'uso di strumenti e un ampio contesto, anziché il fuzzing o la scansione basata su firme.

Posso ispezionare o modificare il modello di minaccia?

Sì. Il modello di minaccia è visibile e modificabile, così i team possono esaminare come Codex Security comprende l'applicazione e aggiornare le ipotesi in base al proprio ambiente.

Cosa significa convalida?

La convalida è il passaggio in cui Codex Security prova a riprodurre una potenziale vulnerabilità in un ambiente isolato prima di mostrarla. Serve a ridurre i falsi positivi e a mantenere i risultati ad alto valore.

Cosa succede dopo la convalida di un risultato?

Dopo la convalida, Codex Security propone una patch che affronta la causa principale e può essere trasformata in una pull request da rivedere.

Questo articolo è stato utile?