OpenAI
Denne siden ble maskinoversatt. Se den opprinnelige engelske artikkelen.

Codex Security

Oppdatert: 10 days ago

Codex Security er en forskningsforhåndsvisning som er tilgjengelig for brukere av ChatGPT Enterprise, Edu, Business og Pro. Det hjelper team med å identifisere, validere og utbedre sårbarheter i kode. Det er utformet for å fungere mer som en sikkerhetsforsker enn en tradisjonell skanner: Det leser kode, kjører tester, utforsker realistiske angrepsveier og foreslår oppdateringer som team kan gjennomgå i sin vanlige arbeidsflyt.

Oversikt

I dag kobler Codex Security seg direkte til GitHub-lagre. Når du har aktivert et lager, bygger det en kodebasespesifikk trusselmodell, skanner lagerhistorikken, validerer mulige sårbarheter i et isolert miljø og viser foreslåtte løsninger for menneskelig gjennomgang.

Codex Security er bygget rundt tre faser: identifisering, validering og utbedring. Under identifisering analyserer det lageret og utforsker realistiske angrepsveier. Under validering prøver det å reprodusere hvert problem for å bekrefte at det er reelt. Under utbedring genererer det en konkret oppdatering som team kan gjennomgå og opprette som en pull-forespørsel.

Slik fungerer Codex Security

Når Codex Security kobler seg til et lager, skanner det commiter i omvendt kronologisk rekkefølge og bygger en kodebasespesifikk trusselmodell. Denne modellen fanger opp angriperes inngangspunkter, tillitsgrenser, sensitive data og kodebaner med stor påvirkning, som Codex bruker til å fokusere analysen på realistiske angrepsscenarioer. Team kan inspisere og redigere trusselmodellen slik at den gjenspeiler de faktiske antakelsene deres om utrulling.

Codex Security følger en lukket arbeidsflyt for utbedring:

  1. Skann lageret: Codex kobler seg til GitHub-lageret ditt, analyserer kodebasen og bygger en trusselmodell fra lageret og commit-historikken.

  2. Oppdag sårbarheter: Ved hjelp av denne trusselmodellen utforsker Codex realistiske kodebaner og identifiserer mulige sårbarheter.

  3. Valider i en sandkasse: Codex kjører en automatisert validator i et isolert miljø for å reprodusere problemet, registrere kjøringsdetaljer og bekrefte utnyttbarhet før funnet vises.

  4. Generer en oppdatering: For validerte sårbarheter produserer Codex et minimalt oppdateringsforslag som håndterer rotårsaken.

  5. Menneskelig gjennomgang og pull-forespørsel: Oppdateringen endrer ikke koden din automatisk. Den vises for menneskelig gjennomgang og kan gjøres om til en pull-forespørsel for den vanlige arbeidsflyten din.

  6. Valider på nytt etter utbedring: Etter at et bekreftet problem er oppdatert og flettet, kan Codex validere løsningen på nytt og lukke sløyfen fra deteksjon til utbedring.

For hvert funn kan Codex Security produsere en angrepsveianalyse som viser hvordan angriperkontrollerte inndata kan bevege seg fra et inngangspunkt til et sensitivt utfall. Den scorer denne veien etter sannsynlighet og påvirkning og gjør de underliggende antakelsene synlige, noe som hjelper team med å prioritere realistiske risikoer fremfor isolerte varsler.

Før Codex Security viser et funn, forsøker det å reprodusere det i et isolert miljø. Validatoren registrerer reproduksjonsresultater, kjøringsdetaljer og konseptbevisartefakter, slik at team kan fokusere på funn som faktisk er vist å fungere.

For validerte funn foreslår Codex Security en minimal oppdatering som håndterer rotårsaken. Det endrer ikke koden din automatisk. I stedet vises oppdateringen for menneskelig gjennomgang og kan gjøres om til en pull-forespørsel i den eksisterende arbeidsflyten din.

Kom i gang

  1. Gå til Codex Security.

  2. Koble til og aktiver GitHub-lagrene du vil at Codex Security skal skanne.

  3. Vent til den første skanningen er ferdig. Codex Security bygger først en trusselmodell for prosjektet og skanner lagerhistorikken etter eksisterende sårbarheter. Dette kan ta lengre tid for store prosjekter. Skanninger av ny kode går raskere.

  4. Gjennomgå funn, valideringsdetaljer og foreslåtte oppdateringer.

Rollebaserte tilgangskontroller (RBAC)

For Enterprise- og Edu-arbeidsområder kan administratorer administrere tilgang til Codex Security i tillatelsene for arbeidsområdet. Codex Security krever at både tilgang til Codex Cloud og Codex Security er aktivert for arbeidsområdet. Tilgang kan også begrenses til bestemte roller eller grupper gjennom RBAC, inkludert SCIM-synkroniserte grupper. For å la medlemmer administrere skannekonfigurasjoner for Codex Security må du også aktivere administratortillatelsen for Codex Security for den aktuelle rollen eller gruppen.

Slik oppdaterer du tillatelsene for arbeidsområdet:

  1. I ChatGPT velger du profilikonet ditt, og deretter Innstillinger for arbeidsområde > Tillatelser for å åpne tillatelser for arbeidsområdet.

  2. Rull ned til Codex Cloud.

  3. Kontroller at tilgang til Codex Cloud er aktivert.

  4. Aktiver eller deaktiver tilgang ved å slå av eller på Tillat medlemmer å bruke Codex Security.

  5. Hvis rollen eller gruppen skal administrere skannekonfigurasjoner, aktiverer du også Tillat medlemmer å administrere Codex Security.

Finn ut mer om rollebaserte tilgangskontroller i ChatGPT-arbeidsområdet ditt.

Anbefalte fremgangsmåter

  • Start med et lite sett med lagre og en dedikert gruppe med gjennomgåere. Vi anbefaler en fokusert utrulling i starten, særlig mens innføring og deling av sårbarheter fortsatt er relativt manuelt.

  • Forbedre trusselmodellen etter hvert som du lærer. Små oppdateringer av modellen kan forbedre konteksten og gjøre funn mer presise over tid.

  • Hvis du ikke bruker GitHub Cloud i dag, bør du vurdere å starte med lagre med lavere risiko eller lagre som ikke er i produksjon, for evaluering. Det kan hjelpe team med å bygge tillit til arbeidsflyten før bredere innføring.

  • Gjennomgå genererte oppdaterings-PR-er med den vanlige gjennomgangsprosessen din. Vi anbefaler også å bruke Codex Code Review på PR-er fra Codex Security, slik at utbedring ikke innfører regresjoner.

Vanlige spørsmål

Endrer Codex Security koden min automatisk?

Nei. Codex Security foreslår en oppdatering for menneskelig gjennomgang. Dette forslaget kan gjøres om til en pull-forespørsel, men det endrer ikke koden din automatisk.

Er Codex Security avhengig av fuzzing eller signaturbasert skanning?

Nei. Codex Security bruker språkmodellresonnering, beregning ved testtid, verktøybruk og stor kontekst, i stedet for fuzzing eller signaturbasert skanning.

Kan jeg inspisere eller redigere trusselmodellen?

Ja. Trusselmodellen er synlig og redigerbar, slik at team kan undersøke hvordan Codex Security forstår applikasjonen, og oppdatere antakelser så de passer med miljøet deres.

Hva betyr validering?

Validering er trinnet der Codex Security prøver å reprodusere en mulig sårbarhet i et isolert miljø før den vises. Dette skal redusere falske positiver og sørge for at funnene har høy relevans.

Hva skjer etter at et funn er validert?

Etter validering foreslår Codex Security en oppdatering som håndterer rotårsaken og kan gjøres om til en pull-forespørsel for gjennomgang.

Var denne artikkelen nyttig?