Codex Security は、ChatGPT Enterprise、Edu、Business、Pro ユーザー向けに提供されているリサーチプレビューです。チームがコード内の脆弱性を特定、検証、修正するのに役立ちます。従来のスキャナーよりもセキュリティ研究者に近い形で機能するよう設計されています。コードを読み、テストを実行し、現実的な攻撃経路を探索し、チームが通常のワークフローでレビューできるパッチを提案します。
概要
現在、Codex Security は GitHub リポジトリに直接接続します。リポジトリを有効にすると、コードベース固有の脅威モデルを構築し、リポジトリ履歴をスキャンし、隔離された環境で潜在的な脆弱性を検証し、人によるレビューのために修正案を提示します。
Codex Security は、特定、検証、修正の 3 つのステージを中心に構築されています。特定の段階では、リポジトリを分析し、現実的な攻撃経路を探索します。検証の段階では、各問題の再現を試み、それが実際に存在することを確認します。修正の段階では、チームがレビューし、プルリクエストとして作成できる具体的なパッチを生成します。
Codex Security の仕組み
Codex Security がリポジトリに接続すると、コミットを新しいものから順にスキャンし、コードベース固有の脅威モデルを構築します。そのモデルは、攻撃者の入口、信頼境界、機密データ、影響の大きいコードパスを捉え、Codex が現実的な攻撃シナリオに分析を集中できるようにします。チームは脅威モデルを確認して編集し、実際のデプロイ前提を反映させることができます。
Codex Security はクローズドループの修正ワークフローに従います:
リポジトリのスキャン: Codex は GitHub リポジトリに接続し、コードベースを分析して、リポジトリとコミット履歴から脅威モデルを構築します。
脆弱性の発見: Codex はその脅威モデルを使用して、現実的なコードパスを探索し、潜在的な脆弱性を特定します。
サンドボックスでの検証: Codex は隔離された環境で自動バリデーターを実行し、検出結果を提示する前に、問題を再現し、実行の詳細を記録し、悪用可能性を確認します。
パッチの生成: 検証済みの脆弱性に対して、Codex は根本原因に対処する最小限のパッチ提案を生成します。
人によるレビューとプルリクエスト: パッチがコードを自動的に変更することはありません。人によるレビューのために提示され、通常のワークフローでプルリクエストにできます。
修正後の再検証: 確認済みの問題にパッチが適用されてマージされた後、Codex は修正を再検証し、検出から修正までのループを閉じることができます。
各検出結果について、Codex Security は、攻撃者が制御する入力が入口から機密性の高い結果へどのように到達し得るかを示す攻撃経路分析を生成できます。その経路を発生可能性と影響でスコア化し、基礎となる前提を可視化することで、チームが孤立したアラートよりも現実的なリスクを優先しやすくします。
検出結果を提示する前に、Codex Security は隔離された環境でその再現を試みます。バリデーターは再現結果、実行の詳細、概念実証アーティファクトを記録するため、チームは実際に動作することが示された検出結果に集中できます。
検証済みの検出結果に対して、Codex Security は根本原因に対処する最小限のパッチを提案します。コードを自動的に変更することはありません。代わりに、パッチは人によるレビューのために提示され、既存のワークフローでプルリクエストにできます。
利用開始
Codex Security に移動します。
Codex Security にスキャンさせたい GitHub リポジトリを接続して有効にします。
初回スキャンが完了するまで待ちます。Codex Security はまずプロジェクトの脅威モデルを構築し、既存の脆弱性を探すためにリポジトリ履歴をスキャンします。大規模なプロジェクトでは時間がかかる場合があります。新しいコードのスキャンはより高速です。
検出結果、検証の詳細、提案されたパッチをレビューします。
ロールベースのアクセス制御(RBAC)
Enterprise および Edu ワークスペースでは、管理者がワークスペース権限で Codex Security へのアクセスを管理できます。Codex Security では、ワークスペースで Codex Cloud と Codex Security の両方のアクセスが有効になっている必要があります。RBAC を通じて、SCIM 同期グループを含む特定のロールまたはグループにアクセスを制限することもできます。メンバーが Codex Security のスキャン設定を管理できるようにするには、該当するロールまたはグループに対して Codex Security 管理者権限も有効にします。
ワークスペースの権限を更新するには:
ChatGPT でプロフィールアイコンを選択し、ワークスペース設定 > 権限 を選択して ワークスペース権限を開きます。
Codex Cloud まで下にスクロールします。
Codex Cloud へのアクセスが有効になっていることを確認します。
メンバーに Codex Security の使用を許可する。を切り替えて、アクセスを有効または無効にします。
そのロールまたはグループがスキャン設定を管理する必要がある場合は、メンバーに Codex Security の管理を許可する。も有効にします。
ChatGPT ワークスペースでのロールベースのアクセス制御の詳細をご覧ください。
ベストプラクティス
少数のリポジトリと専任のレビュアーグループから始めます。特にオンボーディングと脆弱性の共有がまだ比較的手作業である間は、最初は対象を絞って展開することをおすすめします。
学びに応じた脅威モデルの改善モデルに小さな更新を加えることで、コンテキストが改善され、時間の経過とともに検出結果の精度が高まります。
現在 GitHub Cloud を使用していない場合は、評価用にリスクの低いリポジトリや本番環境以外のリポジトリから始めることを検討してください。これにより、より広く導入する前に、チームがワークフローへの信頼を高めやすくなります。
生成されたパッチ PR は通常のレビュープロセスでレビューします。修正によってリグレッションが発生しないように、Codex Security PR で Codex Code Review を使用することもおすすめします。
よくある質問
Codex Security はコードを自動的に変更しますか?
いいえ。Codex Security は人によるレビューのためにパッチを提案します。その提案はプルリクエストにできますが、コードを自動的に変更することはありません。
Codex Security はファジングやシグネチャベースのスキャンに依存していますか?
いいえ。Codex Security は、ファジングやシグネチャベースのスキャンではなく、言語モデルの推論、テスト時の計算、ツール利用、大きなコンテキストを使用しています。
脅威モデルを確認または編集できますか?
はい。脅威モデルは表示と編集が可能なため、チームは Codex Security がアプリケーションをどのように理解しているかを確認し、自分たちの環境に合わせて前提を更新できます。
検証とは何ですか?
検証とは、Codex Security が潜在的な脆弱性を提示する前に、隔離された環境で再現を試みるステップです。これは誤検出を減らし、検出結果の有用性を高く保つためのものです。
検出結果が検証された後はどうなりますか?
検証後、Codex Security は根本原因に対処するパッチを提案します。このパッチはレビュー用のプルリクエストにできます。