OpenAI
이 페이지는 기계 번역되었습니다. 영어 원문 보기

Codex 보안

마지막 수정: 4 days ago

Codex Security는 ChatGPT Enterprise, Edu, Business 및 Pro 사용자가 이용할 수 있는 리서치 프리뷰입니다. 팀이 코드의 취약점을 식별, 검증, 해결하도록 돕습니다. 기존 스캐너보다는 보안 연구자처럼 작동하도록 설계되었습니다. 코드를 읽고, 테스트를 실행하고, 현실적인 공격 경로를 탐색하며, 팀이 일반 워크플로에서 검토할 수 있는 패치를 제안합니다.

개요

현재 Codex Security는 GitHub 리포지터리에 직접 연결됩니다. 리포지터리를 활성화하면 코드베이스별 위협 모델을 구축하고, 리포지터리 기록을 스캔하고, 격리된 환경에서 잠재적 취약점을 검증하며, 사람이 검토할 제안된 수정 사항을 표시합니다.

Codex Security는 식별, 검증, 해결이라는 세 단계로 구성됩니다. 식별 단계에서는 리포지터리를 분석하고 현실적인 공격 경로를 탐색합니다. 검증 단계에서는 각 문제를 재현해 실제 문제인지 확인하려고 시도합니다. 해결 단계에서는 팀이 검토하고 풀 리퀘스트로 올릴 수 있는 구체적인 패치를 생성합니다.

Codex Security 작동 방식

Codex Security가 리포지터리에 연결되면 커밋을 최신순으로 스캔하고 코드베이스별 위협 모델을 구축합니다. 이 모델은 공격자 진입점, 신뢰 경계, 민감한 데이터, 영향이 큰 코드 경로를 포착하며, Codex는 이를 사용해 현실적인 공격 시나리오에 분석을 집중합니다. 팀은 위협 모델이 실제 배포 가정을 반영하도록 이를 검사하고 편집할 수 있습니다.

Codex Security는 폐쇄 루프 해결 워크플로를 따릅니다.

  1. 리포지터리 스캔: Codex는 GitHub 리포지터리에 연결해 코드베이스를 분석하고 리포지터리 및 커밋 기록에서 위협 모델을 구축합니다.

  2. 취약점 발견: Codex는 이 위협 모델을 사용해 현실적인 코드 경로를 탐색하고 잠재적 취약점을 식별합니다.

  3. 샌드박스에서 검증: Codex는 격리된 환경에서 자동 검증기를 실행해 문제를 재현하고, 실행 세부 정보를 캡처하며, 발견 항목을 표시하기 전에 악용 가능성을 확인합니다.

  4. 패치 생성: 검증된 취약점에 대해 Codex는 근본 원인을 해결하는 최소 패치 제안을 생성합니다.

  5. 사람의 검토 및 풀 리퀘스트: 패치는 코드를 자동으로 수정하지 않습니다. 사람이 검토할 수 있도록 표시되며, 일반 워크플로에서 풀 리퀘스트로 만들 수 있습니다.

  6. 해결 후 재검증: 확인된 문제가 패치되고 병합된 후 Codex는 수정 사항을 재검증하여 탐지부터 해결까지의 루프를 닫을 수 있습니다.

각 발견 항목에 대해 Codex Security는 공격자가 제어하는 입력이 진입점에서 민감한 결과로 이동할 수 있는 방식을 보여주는 공격 경로 분석을 생성할 수 있습니다. 그 경로에 가능성과 영향을 기준으로 점수를 매기고 기본 가정을 표시하므로, 팀은 고립된 알림보다 현실적인 위험의 우선순위를 정할 수 있습니다.

발견 항목을 표시하기 전에 Codex Security는 격리된 환경에서 이를 재현하려고 시도합니다. 검증기는 재현 결과, 실행 세부 정보, 개념 증명(PoC) 아티팩트를 기록하므로 팀은 실제로 작동하는 것으로 확인된 발견 항목에 집중할 수 있습니다.

검증된 발견 항목에 대해 Codex Security는 근본 원인을 해결하는 최소 패치를 제안합니다. 코드를 자동으로 수정하지는 않습니다. 대신 패치는 사람이 검토할 수 있도록 표시되며, 기존 워크플로에서 풀 리퀘스트로 만들 수 있습니다.

시작하기

  1. Codex Security로 이동하세요.

  2. Codex Security가 스캔할 GitHub 리포지터리를 연결하고 활성화하세요.

  3. 초기 스캔이 완료될 때까지 기다리세요. Codex Security는 먼저 프로젝트의 위협 모델을 구축하고 기존 취약점을 찾기 위해 리포지터리 기록을 스캔합니다. 대규모 프로젝트의 경우 더 오래 걸릴 수 있습니다. 새 코드 스캔은 더 빠릅니다.

  4. 발견 항목, 검증 세부 정보, 제안된 패치를 검토하세요.

역할 기반 액세스 제어(RBAC)

Enterprise 및 Edu 워크스페이스에서 관리자는 워크스페이스 권한에서 Codex Security 액세스를 관리할 수 있습니다. Codex Security를 사용하려면 워크스페이스에 Codex Cloud와 Codex Security 액세스가 모두 활성화되어 있어야 합니다. SCIM 동기화 그룹을 포함해 RBAC를 통해 특정 역할 또는 그룹으로 액세스를 제한할 수도 있습니다. 구성원이 Codex Security 스캔 구성을 관리하도록 하려면 해당 역할 또는 그룹에 Codex Security 관리자 권한도 활성화하세요.

워크스페이스 권한을 업데이트하려면:

  1. ChatGPT에서 프로필 아이콘을 선택한 다음 워크스페이스 설정 > 권한을 선택해 워크스페이스 권한을 엽니다.

  2. Codex Cloud까지 아래로 스크롤합니다.

  3. Codex Cloud 액세스가 활성화되어 있는지 확인합니다.

  4. 구성원이 Codex Security를 사용하도록 허용합니다.를 전환하여 액세스를 활성화하거나 비활성화합니다.

  5. 역할 또는 그룹이 스캔 구성을 관리해야 하는 경우 구성원이 Codex Security를 관리하도록 허용합니다.도 활성화합니다.

ChatGPT 워크스페이스의 역할 기반 액세스 제어에 대해 자세히 알아보세요.

권장 사항

  • 소수의 리포지터리와 전담 검토자 그룹으로 시작하세요. 특히 온보딩과 취약점 공유가 아직 비교적 수동으로 이루어지는 동안에는 처음에 집중적인 롤아웃을 권장합니다.

  • 학습한 내용을 바탕으로 위협 모델을 다듬으세요. 모델을 조금씩 업데이트하면 시간이 지남에 따라 컨텍스트가 개선되고 발견 항목이 더 정확해질 수 있습니다.

  • 현재 GitHub Cloud를 사용하지 않는 경우, 평가를 위해 위험도가 낮거나 프로덕션이 아닌 리포지터리로 시작하는 것을 고려하세요. 이를 통해 팀은 더 넓게 도입하기 전에 워크플로에 대한 신뢰를 쌓을 수 있습니다.

  • 생성된 패치 PR은 일반 검토 프로세스로 검토하세요. 또한 해결 과정에서 회귀가 발생하지 않도록 Codex Security PR에 Codex Code Review를 사용하는 것을 권장합니다.

FAQ

Codex Security가 내 코드를 자동으로 변경하나요?

아니요. Codex Security는 사람이 검토할 패치를 제안합니다. 그 제안은 풀 리퀘스트로 만들 수 있지만, 코드를 자동으로 수정하지는 않습니다.

Codex Security는 퍼징이나 서명 기반 스캔에 의존하나요?

아니요. Codex Security는 퍼징이나 서명 기반 스캔이 아니라 언어 모델 추론, 테스트 시점 컴퓨팅, 도구 사용, 대규모 컨텍스트를 사용합니다.

위협 모델을 검사하거나 편집할 수 있나요?

예. 위협 모델은 확인하고 편집할 수 있으므로, 팀은 Codex Security가 애플리케이션을 어떻게 이해하는지 검사하고 환경에 맞게 가정을 업데이트할 수 있습니다.

검증이란 무엇을 의미하나요?

검증은 Codex Security가 잠재적 취약점을 표시하기 전에 격리된 환경에서 재현을 시도하는 단계입니다. 이는 오탐을 줄이고 유의미한 발견 항목을 유지하기 위한 것입니다.

발견 항목이 검증되면 어떻게 되나요?

검증 후 Codex Security는 근본 원인을 해결하는 패치를 제안하며, 이 패치는 검토를 위한 풀 리퀘스트로 만들 수 있습니다.

이 문서가 도움이 되었나요?