Codex Security yra tyrimų peržiūros versija, prieinama ChatGPT Enterprise, Edu, Business ir Pro naudotojams. Ji padeda komandoms nustatyti, patvirtinti ir ištaisyti kodo pažeidžiamumus. Ji sukurta veikti labiau kaip saugumo tyrėjas, o ne tradicinis skeneris: ji skaito kodą, vykdo testus, nagrinėja realistiškus atakų kelius ir siūlo pataisas, kurias komandos gali peržiūrėti įprastoje darbo eigoje.
Apžvalga
Šiuo metu Codex Security tiesiogiai jungiasi prie GitHub saugyklų. Įjungus saugyklą, ji sukuria konkrečiai kodo bazei skirtą grėsmių modelį, nuskaito saugyklos istoriją, izoliuotoje aplinkoje patvirtina galimus pažeidžiamumus ir pateikia siūlomus pataisymus žmogaus peržiūrai.
Codex Security veikia trimis etapais: nustatymo, validavimo ir taisymo. Nustatymo metu ji analizuoja saugyklą ir nagrinėja realistiškus atakų kelius. Validavimo metu ji bando atkurti kiekvieną problemą, kad patvirtintų, jog ji tikra. Taisymo metu ji sugeneruoja konkrečią pataisą, kurią komandos gali peržiūrėti ir paversti išsiuntimo užklausa.
Kaip veikia Codex Security
Kai Codex Security prisijungia prie saugyklos, ji nuskaito įrašus atvirkštine chronologine tvarka ir sukuria konkrečiai kodo bazei skirtą grėsmių modelį. Šis modelis apima užpuolikų įėjimo taškus, pasitikėjimo ribas, neskelbtinus duomenis ir didelio poveikio kodo kelius, kuriuos Codex naudoja analizei sutelkti į realistiškus atakų scenarijus. Komandos gali peržiūrėti ir redaguoti grėsmių modelį, kad jis atspindėtų jų realias diegimo prielaidas.
Codex Security naudoja uždarojo ciklo taisymo darbo eigą:
Nuskaitykite saugyklą: Codex prisijungia prie jūsų GitHub saugyklos, analizuoja kodo bazę ir iš saugyklos bei įrašų istorijos sukuria grėsmių modelį.
Aptikite pažeidžiamumus: Naudodamas šį grėsmių modelį, Codex nagrinėja realistiškus kodo kelius ir nustato galimus pažeidžiamumus.
Validuokite smėlio dėžėje: Codex izoliuotoje aplinkoje paleidžia automatinį validatorių, kad atkurtų problemą, užfiksuotų vykdymo informaciją ir patvirtintų išnaudojamumą prieš pateikdamas radinį.
Sugeneruokite pataisą: Patvirtintiems pažeidžiamumams Codex pateikia minimalų pataisos pasiūlymą, kuris pašalina pagrindinę priežastį.
Žmogaus peržiūra ir išsiuntimo užklausa: Pataisa automatiškai nekeičia jūsų kodo. Ji pateikiama žmogaus peržiūrai ir gali būti paversta išsiuntimo užklausa jūsų įprastai darbo eigai.
Pakartotinai validuokite po taisymo: Kai patvirtinta problema pataisoma ir suliejama, Codex gali pakartotinai validuoti pataisą, užbaigdamas ciklą nuo aptikimo iki taisymo.
Kiekvienam radiniui Codex Security gali parengti atakos kelio analizę, kuri parodo, kaip užpuoliko valdomi įvesties duomenys galėtų judėti nuo įėjimo taško iki jautraus rezultato. Ji įvertina šį kelią pagal tikimybę ir poveikį bei parodo pagrindines prielaidas, o tai padeda komandoms teikti pirmenybę realistiškoms rizikoms, o ne pavieniams įspėjimams.
Prieš pateikdama radinį, Codex Security bando jį atkurti izoliuotoje aplinkoje. Validatorius įrašo atkūrimo rezultatus, vykdymo informaciją ir koncepcijos įrodymo artefaktus, kad komandos galėtų sutelkti dėmesį į radinius, kurie iš tikrųjų buvo parodyti kaip veikiantys.
Patvirtintiems radiniams Codex Security pasiūlo minimalią pataisą, kuri pašalina pagrindinę priežastį. Ji automatiškai nekeičia jūsų kodo. Vietoj to pataisa pateikiama žmogaus peržiūrai ir gali būti paversta išsiuntimo užklausa jūsų esamoje darbo eigoje.
Pradžia
Eikite į Codex Security.
Prijunkite ir įjunkite GitHub saugyklas, kurias norite, kad Codex Security nuskaitytų.
Palaukite, kol pradinis nuskaitymas bus baigtas. Codex Security pirmiausia sukuria projekto grėsmių modelį ir nuskaito saugyklos istoriją, ieškodama esamų pažeidžiamumų. Dideliems projektams tai gali užtrukti ilgiau. Naujo kodo nuskaitymai yra greitesni.
Peržiūrėkite radinius, validavimo informaciją ir siūlomas pataisas.
Vaidmenimis pagrįsta prieigos kontrolė (RBAC)
Enterprise ir Edu darbo erdvėse administratoriai gali valdyti prieigą prie Codex Security darbo erdvės leidimuose. Kad Codex Security veiktų, darbo erdvėje turi būti įjungta ir Codex Cloud, ir Codex Security prieiga. Prieigą taip pat galima apriboti konkrečiais vaidmenimis ar grupėmis naudojant RBAC, įskaitant su SCIM sinchronizuotas grupes. Kad nariai galėtų valdyti Codex Security nuskaitymo konfigūracijas, taip pat įjunkite Codex Security administratoriaus leidimą atitinkamam vaidmeniui ar grupei.
Norėdami atnaujinti darbo erdvės leidimus:
ChatGPT pasirinkite savo profilio piktogramą, tada pasirinkite Darbo erdvės nustatymai > Leidimai, kad atidarytumėte darbo erdvės leidimus.
Slinkite žemyn iki Codex Cloud.
Įsitikinkite, kad Codex Cloud prieiga įjungta.
Įjunkite arba išjunkite prieigą perjungdami Leisti nariams naudoti Codex Security.
Jei vaidmuo ar grupė turėtų valdyti nuskaitymo konfigūracijas, taip pat įjunkite Leisti nariams administruoti Codex Security.
Sužinokite daugiau apie vaidmenimis pagrįstą prieigos kontrolę savo ChatGPT darbo erdvėje.
Geriausios praktikos
Pradėkite nuo nedidelio saugyklų rinkinio ir specialios peržiūrėtojų grupės. Iš pradžių rekomenduojame kryptingą diegimą, ypač kol įtraukimas ir pažeidžiamumų bendrinimas vis dar yra gana rankiniai.
Tobulinkite grėsmių modelį mokydamiesi. Nedideli modelio atnaujinimai laikui bėgant gali pagerinti kontekstą ir padaryti radinius tikslesnius.
Jei šiuo metu nenaudojate GitHub Cloud, vertinimui apsvarstykite galimybę pradėti nuo mažesnės rizikos arba ne gamybinių saugyklų. Tai gali padėti komandoms įgyti pasitikėjimo darbo eiga prieš platesnį pritaikymą.
Sugeneruotas pataisų išsiuntimo užklausas peržiūrėkite taikydami įprastą peržiūros procesą. Taip pat rekomenduojame naudoti Codex Code Review Codex Security išsiuntimo užklausoms, kad taisymas nesukeltų regresijų.
DUK
Ar Codex Security automatiškai keičia mano kodą?
Ne. Codex Security pasiūlo pataisą žmogaus peržiūrai. Šį pasiūlymą galima paversti išsiuntimo užklausa, bet jis automatiškai nekeičia jūsų kodo.
Ar Codex Security remiasi fuzzing arba parašais pagrįstu nuskaitymu?
Ne. Codex Security naudoja kalbos modelio protavimą, skaičiavimus testavimo metu, įrankių naudojimą ir didelį kontekstą, o ne fuzzing ar parašais pagrįstą nuskaitymą.
Ar galiu peržiūrėti arba redaguoti grėsmių modelį?
Taip. Grėsmių modelis yra matomas ir redaguojamas, todėl komandos gali peržiūrėti, kaip Codex Security supranta programą, ir atnaujinti prielaidas, kad jos atitiktų jų aplinką.
Ką reiškia validavimas?
Validavimas yra etapas, kai Codex Security bando atkurti galimą pažeidžiamumą izoliuotoje aplinkoje prieš jį pateikdama. Taip siekiama sumažinti klaidingai teigiamų rezultatų skaičių ir užtikrinti, kad radiniai būtų labai informatyvūs.
Kas nutinka patvirtinus radinį?
Po validavimo Codex Security pasiūlo pataisą, kuri pašalina pagrindinę priežastį ir gali būti paversta išsiuntimo užklausa peržiūrai.
