OpenAI
Denne siden ble maskinoversatt. Se den opprinnelige engelske artikkelen.

Codex Security

Oppdatert: 9 days ago

Codex Security er en forskningsforhåndsvisning som hjelper team med å identifisere, validere og utbedre sårbarheter i kode. Den er utformet for å fungere mer som en sikkerhetsforsker enn en tradisjonell skanner: den leser kode, kjører tester, utforsker realistiske angrepsveier og foreslår patcher som team kan gjennomgå i sin vanlige arbeidsflyt.

Oversikt

I dag kobler Codex Security seg direkte til GitHub-lagre. Etter at du aktiverer et lager, bygger den en trusselmodell som er spesifikk for kodebasen, skanner lagerhistorikken, validerer potensielle sårbarheter i et isolert miljø og viser foreslåtte rettinger for menneskelig gjennomgang.

Codex Security er bygget rundt tre stadier: identifisering, validering og utbedring. Under identifiseringen analyserer den lageret og utforsker realistiske angrepsveier. Under valideringen prøver den å reprodusere hvert problem for å bekrefte at det er reelt. Under utbedringen genererer den en konkret patch som team kan gjennomgå og gjøre om til en pull-forespørsel.

Slik fungerer Codex Security

Når Codex Security kobler seg til et lager, skanner den commits i omvendt kronologisk rekkefølge og bygger en trusselmodell som er spesifikk for kodebasen. Den modellen fanger opp inngangspunkter for angripere, tillitsgrenser, sensitive data og kodeveier med stor konsekvens, som Codex bruker til å fokusere analysen på realistiske angrepsscenarioer. Team kan inspisere og redigere trusselmodellen slik at den gjenspeiler deres faktiske forutsetninger for distribusjon.

Codex Security følger en lukket arbeidsflyt for utbedring:

  1. Skann lageret: Codex kobler til GitHub-lageret ditt, analyserer kodebasen og bygger en trusselmodell fra lageret og commit-historikken.

  2. Oppdag sårbarheter: Ved hjelp av trusselmodellen utforsker Codex realistiske kodeveier og identifiserer potensielle sårbarheter.

  3. Valider i en sandkasse: Codex kjører en automatisert validator i et isolert miljø for å reprodusere problemet, fange opp kjøringsdetaljer og bekrefte utnyttbarhet før funnet vises.

  4. Generer en patch: For validerte sårbarheter produserer Codex et minimalt patchforslag som adresserer rotårsaken.

  5. Menneskelig gjennomgang og pull-forespørsel: Patchen endrer ikke koden din automatisk. Den vises for menneskelig gjennomgang og kan gjøres om til en pull-forespørsel i den vanlige arbeidsflyten din.

  6. Revalider etter utbedring: Etter at et bekreftet problem er patchet og slått sammen, kan Codex revalidere rettingen og dermed lukke sløyfen fra oppdagelse til utbedring.

For hvert funn kan Codex Security produsere analyse av angrepsveier som viser hvordan angriperkontrollert inndata kan bevege seg fra et inngangspunkt til et sensitivt utfall. Den vurderer denne veien etter sannsynlighet og konsekvens og synliggjør de underliggende antakelsene, noe som hjelper team med å prioritere realistiske risikoer fremfor isolerte varsler.

Før et funn vises, prøver Codex Security å reprodusere det i et isolert miljø. Validatoren registrerer reproduksjonsresultater, kjøringsdetaljer og proof-of-concept-artefakter slik at team kan fokusere på funn som faktisk har vist seg å fungere.

For validerte funn foreslår Codex Security en minimal patch som adresserer rotårsaken. Den endrer ikke koden din automatisk. I stedet vises patchen for menneskelig gjennomgang og kan gjøres om til en pull-forespørsel i den eksisterende arbeidsflyten din.

Kom i gang

  1. Gå til chatgpt.com/codex/security.

  2. Koble til og aktiver GitHub-lagrene du vil at Codex Security skal skanne.

  3. Vent til den første skanningen er ferdig. Codex Security bygger først en trusselmodell for prosjektet og skanner lagerhistorikken for eksisterende sårbarheter. Dette kan ta lengre tid for store prosjekter. Skanninger av ny kode går raskere.

  4. Gå gjennom funn, valideringsdetaljer og foreslåtte patcher.

Rollebasert tilgangskontroll (RBAC)

For Enterprise- og Edu-arbeidsområder kan administratorer administrere tilgang til Codex Security i tillatelsene for arbeidsområdet. Codex Security krever at både Codex Cloud og Codex Security-tilgang er aktivert for arbeidsområdet. Tilgang kan også begrenses til bestemte roller eller grupper gjennom RBAC, inkludert SCIM-synkroniserte grupper. For å la medlemmer administrere skannekonfigurasjoner for Codex Security må du også aktivere administratortillatelsen for Codex Security for den aktuelle rollen eller gruppen.

Slik oppdaterer du tillatelsene for arbeidsområdet ditt:

  1. I ChatGPT klikker du på profilikonet ditt og velger Workspace Settings -> Permissions for å gå til siden for tillatelser for arbeidsområde.

  2. Rull ned til Codex Cloud.

  3. Kontroller at tilgang til Codex Cloud er aktivert.

  4. Aktiver eller deaktiver tilgang ved å slå av eller på Tillat medlemmer å bruke Codex Security.

  5. Hvis rollen eller gruppen skal administrere skannekonfigurasjoner, må du også aktivere Tillat medlemmer å administrere Codex Security.

Les mer om rollebasert tilgangskontroll i ChatGPT-arbeidsområdet ditt.

Beste praksis

  • Start med et lite sett med lagre og en dedikert gruppe gjennomlesere. Vi anbefaler først en fokusert utrulling, særlig mens onboarding og deling av sårbarheter fortsatt er relativt manuelt.

  • Forbedre trusselmodellen etter hvert som du lærer. Små oppdateringer av modellen kan forbedre konteksten og gjøre funnene mer presise over tid.

  • Hvis du ikke bruker GitHub Cloud i dag, bør du vurdere å starte med lagre med lavere risiko eller lagre som ikke er i produksjon for evaluering. Det kan hjelpe team med å få tillit til arbeidsflyten før bredere innføring.

  • Gå gjennom genererte patch-PR-er med den vanlige gjennomgangsprosessen din. Vi anbefaler også å bruke Codex Code Review på Codex Security-PR-er slik at utbedring ikke introduserer regresjoner.

Vanlige spørsmål

Endrer Codex Security koden min automatisk?

Nei. Codex Security foreslår en patch for menneskelig gjennomgang. Forslaget kan gjøres om til en pull-forespørsel, men det endrer ikke koden din automatisk.

Er Codex Security avhengig av fuzzing eller signaturbasert skanning?

Nei. Codex Security bruker resonnering med språkmodeller, beregningstid under test, verktøybruk og stor kontekst, i stedet for fuzzing eller signaturbasert skanning.

Kan jeg inspisere eller redigere trusselmodellen?

Ja. Trusselmodellen er synlig og kan redigeres, slik at team kan inspisere hvordan Codex Security forstår applikasjonen og oppdatere antakelser så de passer miljøet deres.

Hva betyr validering?

Validering er trinnet der Codex Security prøver å reprodusere en potensiell sårbarhet i et isolert miljø før den vises. Dette er ment å redusere falske positiver og holde funnene høyverdige.

Hva skjer etter at et funn er validert?

Etter validering foreslår Codex Security en patch som adresserer rotårsaken og kan gjøres om til en pull-forespørsel for gjennomgang.

Var denne artikkelen nyttig?