Codex Security는 팀이 코드의 취약점을 식별하고, 검증하고, 해결할 수 있도록 돕는 연구 프리뷰입니다. 기존 스캐너보다 보안 연구원처럼 작동하도록 설계되어 코드 읽기, 테스트 실행, 현실적인 공격 경로 탐색, 그리고 팀이 기존 워크플로에서 검토할 수 있는 패치 제안까지 수행합니다.
개요
현재 Codex Security는 GitHub 리포지터리에 직접 연결됩니다. 리포지터리를 활성화하면 코드베이스별 위협 모델을 구축하고, 리포지터리 기록을 검사하며, 격리된 환경에서 잠재적 취약점을 검증하고, 사람이 검토할 수 있도록 수정 제안을 표시합니다.
Codex Security는 식별, 검증, 해결의 세 단계로 구성됩니다. 식별 단계에서는 리포지터리를 분석하고 현실적인 공격 경로를 탐색합니다. 검증 단계에서는 각 이슈를 재현해 실제 문제인지 확인합니다. 해결 단계에서는 팀이 검토하고 풀 리퀘스트로 올릴 수 있는 구체적인 패치를 생성합니다.
Codex Security 작동 방식
Codex Security가 리포지터리에 연결되면 커밋을 최신순의 역순으로 스캔하고 코드베이스별 위협 모델을 구축합니다. 이 모델은 공격자 진입점, 신뢰 경계, 민감한 데이터, 영향이 큰 코드 경로를 포착하며, Codex는 이를 바탕으로 현실적인 공격 시나리오에 분석을 집중합니다. 팀은 위협 모델을 검토하고 편집하여 실제 배포 가정이 반영되도록 할 수 있습니다.
Codex Security는 폐쇄 루프형 해결 워크플로를 따릅니다.
리포지터리 스캔: Codex가 GitHub 리포지터리에 연결해 코드베이스를 분석하고, 리포지터리와 커밋 기록을 바탕으로 위협 모델을 구축합니다.
취약점 발견: Codex는 해당 위협 모델을 사용해 현실적인 코드 경로를 탐색하고 잠재적 취약점을 식별합니다.
샌드박스에서 검증: Codex는 격리된 환경에서 자동 검증기를 실행해 이슈를 재현하고, 실행 세부 정보를 수집하며, 결과를 표시하기 전에 악용 가능성을 확인합니다.
패치 생성: 검증된 취약점에 대해 Codex는 근본 원인을 해결하는 최소한의 패치 제안을 생성합니다.
사람 검토 및 풀 리퀘스트: 패치는 코드를 자동으로 수정하지 않습니다. 대신 사람이 검토할 수 있도록 표시되며, 기존 워크플로에 맞춰 풀 리퀘스트로 전환할 수 있습니다.
해결 후 재검증: 확인된 이슈가 패치되고 병합된 후 Codex는 수정 사항을 다시 검증해, 탐지부터 해결까지의 루프를 닫을 수 있습니다.
각 발견 사항에 대해 Codex Security는 공격자가 제어하는 입력이 진입점에서 민감한 결과로 어떻게 이동할 수 있는지 보여주는 공격 경로 분석을 생성할 수 있습니다. 이 경로를 가능성과 영향도로 점수화하고, 그 기반이 되는 가정을 드러내어 팀이 고립된 경고보다 현실적인 위험의 우선순위를 정하는 데 도움을 줍니다.
발견 사항을 표시하기 전에 Codex Security는 이를 격리된 환경에서 재현하려고 시도합니다. 검증기는 재현 결과, 실행 세부 정보, 개념 증명 아티팩트를 기록하므로 팀은 실제로 작동함이 입증된 발견 사항에 집중할 수 있습니다.
검증된 발견 사항에 대해 Codex Security는 근본 원인을 해결하는 최소한의 패치를 제안합니다. 코드를 자동으로 수정하지는 않습니다. 대신 패치를 사람이 검토할 수 있도록 표시하며, 기존 워크플로에서 풀 리퀘스트로 전환할 수 있습니다.
시작하기
chatgpt.com/codex/security로 이동합니다.
Codex Security가 스캔할 GitHub 리포지터리를 연결하고 활성화합니다.
초기 스캔이 완료될 때까지 기다립니다. Codex Security는 먼저 프로젝트의 위협 모델을 구축하고, 기존 취약점이 있는지 리포지터리 기록을 스캔합니다. 대규모 프로젝트에서는 더 오래 걸릴 수 있습니다. 새 코드에 대한 스캔은 더 빠릅니다.
발견 사항, 검증 세부 정보, 제안된 패치를 검토합니다.
역할 기반 액세스 제어(RBAC)
Enterprise 및 Edu 워크스페이스에서는 관리자가 워크스페이스 권한에서 Codex Security 액세스를 관리할 수 있습니다. Codex Security를 사용하려면 워크스페이스에서 Codex Cloud와 Codex Security 액세스가 모두 활성화되어 있어야 합니다. RBAC를 통해 SCIM 동기화 그룹을 포함한 특정 역할 또는 그룹으로 액세스를 제한할 수도 있습니다. 구성원이 Codex Security 스캔 구성을 관리할 수 있게 하려면, 해당 역할 또는 그룹에 대해 Codex Security 관리자 권한도 활성화하세요.
워크스페이스 권한을 업데이트하려면 다음과 같이 하세요.
ChatGPT에서 프로필 아이콘을 클릭하고 Workspace Settings -> Permissions를 선택해 워크스페이스 권한 페이지로 이동합니다.
Codex Cloud까지 아래로 스크롤합니다.
Codex Cloud 액세스가 활성화되어 있는지 확인합니다.
Allow members to use Codex Security.를 전환해 액세스를 활성화하거나 비활성화합니다.
해당 역할 또는 그룹이 스캔 구성을 관리해야 한다면 Allow members to administer Codex Security.도 활성화합니다.
ChatGPT 워크스페이스의 역할 기반 액세스 제어에 대해 자세히 알아보세요.
모범 사례
소수의 리포지터리와 전담 검토자 그룹으로 시작하세요. 특히 온보딩과 취약점 공유가 아직 비교적 수동적인 단계라면, 처음에는 범위를 좁혀 도입하는 것을 권장합니다.
학습하면서 위협 모델을 개선하세요. 모델을 조금만 업데이트해도 시간이 지나며 맥락이 향상되고 발견 사항의 정확도가 높아질 수 있습니다.
현재 GitHub Cloud를 사용하지 않는다면, 평가를 위해 위험이 낮거나 프로덕션이 아닌 리포지터리부터 시작하는 것을 고려해 보세요. 그러면 더 넓게 도입하기 전에 팀이 워크플로에 대한 신뢰를 쌓는 데 도움이 될 수 있습니다.
생성된 패치 PR은 평소의 검토 프로세스로 검토하세요. 또한 해결 과정에서 회귀가 발생하지 않도록 Codex Security PR에 Codex Code Review를 사용하는 것도 권장합니다.
FAQ
Codex Security가 내 코드를 자동으로 변경하나요?
아니요. Codex Security는 사람이 검토할 수 있는 패치를 제안합니다. 그 제안은 풀 리퀘스트로 전환할 수 있지만, 코드를 자동으로 수정하지는 않습니다.
Codex Security는 퍼징이나 시그니처 기반 스캔에 의존하나요?
아니요. Codex Security는 퍼징이나 시그니처 기반 스캔 대신 언어 모델 추론, 테스트 시점 컴퓨트, 도구 사용, 그리고 대규모 컨텍스트를 사용합니다.
위협 모델을 검토하거나 편집할 수 있나요?
예. 위협 모델은 표시되고 편집 가능하므로, 팀은 Codex Security가 애플리케이션을 어떻게 이해하는지 검토하고 환경에 맞게 가정을 업데이트할 수 있습니다.
검증이란 무엇을 의미하나요?
검증은 Codex Security가 잠재적 취약점을 표시하기 전에 격리된 환경에서 이를 재현하려고 시도하는 단계입니다. 이는 오탐을 줄이고 발견 사항의 신뢰도를 높게 유지하기 위한 것입니다.
발견 사항이 검증된 후에는 어떻게 되나요?
검증 후 Codex Security는 근본 원인을 해결하는 패치를 제안하며, 이를 검토용 풀 리퀘스트로 전환할 수 있습니다.