OpenAI
Esta página foi traduzida automaticamente. Veja o artigo original em inglês.

Segurança do Codex

Atualizado: 7 days ago

O Codex Security é uma prévia de pesquisa disponível para usuários do ChatGPT Enterprise, Edu, Business e Pro. Ele ajuda as equipes a identificar, validar e corrigir vulnerabilidades no código. Ele foi projetado para funcionar mais como um pesquisador de segurança do que como um scanner tradicional: lê código, executa testes, explora caminhos de ataque realistas e propõe patches que as equipes podem revisar em seu fluxo de trabalho normal.

Visão geral

Hoje, o Codex Security se conecta diretamente a repositórios do GitHub. Depois que você habilita um repositório, ele cria um modelo de ameaças específico da base de código, verifica o histórico do repositório, valida possíveis vulnerabilidades em um ambiente isolado e apresenta correções propostas para revisão humana.

O Codex Security é estruturado em três etapas: identificação, validação e correção. Durante a identificação, ele analisa o repositório e explora caminhos de ataque realistas. Durante a validação, ele tenta reproduzir cada problema para confirmar que é real. Durante a correção, ele gera um patch concreto que as equipes podem revisar e transformar em uma pull request.

Como o Codex Security funciona

Quando o Codex Security se conecta a um repositório, ele verifica commits em ordem cronológica inversa e cria um modelo de ameaças específico da base de código. Esse modelo captura pontos de entrada de invasores, limites de confiança, dados confidenciais e caminhos de código de alto impacto, que o Codex usa para concentrar a análise em cenários de ataque realistas. As equipes podem inspecionar e editar o modelo de ameaças para que ele reflita suas suposições reais de implantação.

O Codex Security segue um fluxo de trabalho de correção em ciclo fechado:

  1. Verificar o repositório: o Codex se conecta ao seu repositório do GitHub, analisa a base de código e cria um modelo de ameaças a partir do repositório e do histórico de commits.

  2. Descobrir vulnerabilidades: usando esse modelo de ameaças, o Codex explora caminhos de código realistas e identifica possíveis vulnerabilidades.

  3. Validar em um sandbox: o Codex executa um validador automatizado em um ambiente isolado para reproduzir o problema, capturar detalhes de execução e confirmar a explorabilidade antes de exibir o achado.

  4. Gerar um patch: para vulnerabilidades validadas, o Codex produz uma sugestão de patch mínima que trata a causa raiz.

  5. Revisão humana e pull request: o patch não modifica seu código automaticamente. Ele é apresentado para revisão humana e pode ser transformado em uma pull request para seu fluxo de trabalho normal.

  6. Revalidar após a correção: depois que um problema confirmado é corrigido e mesclado, o Codex pode revalidar a correção, fechando o ciclo da detecção à correção.

Para cada achado, o Codex Security pode produzir uma análise do caminho de ataque que mostra como uma entrada controlada por invasor poderia se mover de um ponto de entrada até um resultado sensível. Ele pontua esse caminho por probabilidade e impacto e torna visíveis as suposições subjacentes, o que ajuda as equipes a priorizar riscos realistas em vez de alertas isolados.

Antes de exibir um achado, o Codex Security tenta reproduzi-lo em um ambiente isolado. O validador registra resultados de reprodução, detalhes de execução e artefatos de prova de conceito para que as equipes possam se concentrar em achados que de fato demonstraram funcionar.

Para achados validados, o Codex Security propõe um patch mínimo que trata a causa raiz. Ele não modifica seu código automaticamente. Em vez disso, o patch é apresentado para revisão humana e pode ser transformado em uma pull request no seu fluxo de trabalho existente.

Começar

  1. Acesse Codex Security.

  2. Conecte e habilite os repositórios do GitHub que você quer que o Codex Security verifique.

  3. Aguarde a conclusão da varredura inicial. Primeiro, o Codex Security cria um modelo de ameaças para o projeto e verifica o histórico do repositório em busca de vulnerabilidades existentes. Isso pode levar mais tempo em projetos grandes. Varreduras de código novo são mais rápidas.

  4. Revise os achados, os detalhes de validação e os patches propostos.

Controles de acesso baseados em função (RBAC)

Para workspaces Enterprise e Edu, os administradores podem gerenciar o acesso ao Codex Security nas permissões do workspace. O Codex Security exige que o acesso ao Codex Cloud e ao Codex Security estejam habilitados para o workspace. O acesso também pode ser limitado a funções ou grupos específicos por meio do RBAC, incluindo grupos sincronizados por SCIM. Para permitir que membros gerenciem configurações de varredura do Codex Security, habilite também a permissão de administrador do Codex Security para a função ou o grupo apropriado.

Para atualizar as permissões do seu workspace:

  1. No ChatGPT, selecione seu ícone de perfil e depois selecione Configurações do workspace > Permissões para abrir as permissões do workspace.

  2. Role para baixo até Codex Cloud.

  3. Verifique se o acesso ao Codex Cloud está habilitado.

  4. Habilite ou desabilite o acesso alternando Permitir que membros usem o Codex Security.

  5. Se a função ou o grupo deve gerenciar configurações de varredura, habilite também Permitir que membros administrem o Codex Security.

Saiba mais sobre controles de acesso baseados em função no seu workspace do ChatGPT.

Práticas recomendadas

  • Comece com um pequeno conjunto de repositórios e um grupo dedicado de revisores. Recomendamos uma implementação focada no início, especialmente enquanto a integração e o compartilhamento de vulnerabilidades ainda forem relativamente manuais.

  • Refine o modelo de ameaças conforme você aprende. Pequenas atualizações no modelo podem melhorar o contexto e tornar os achados mais precisos ao longo do tempo.

  • Se você não usa o GitHub Cloud hoje, considere começar com repositórios de menor risco ou fora de produção para avaliação. Isso pode ajudar as equipes a ganhar confiança no fluxo de trabalho antes de uma adoção mais ampla.

  • Revise as PRs de patch geradas usando seu processo normal de revisão. Também recomendamos usar o Codex Code Review em PRs do Codex Security para que a correção não introduza regressões.

Perguntas frequentes

O Codex Security altera meu código automaticamente?

Não. O Codex Security propõe um patch para revisão humana. Essa proposta pode ser transformada em uma pull request, mas não modifica seu código automaticamente.

O Codex Security depende de fuzzing ou de varredura baseada em assinaturas?

Não. O Codex Security usa raciocínio de modelos de linguagem, computação em tempo de teste, uso de ferramentas e contexto amplo, em vez de fuzzing ou varredura baseada em assinaturas.

Posso inspecionar ou editar o modelo de ameaças?

Sim. O modelo de ameaças é visível e editável, para que as equipes possam inspecionar como o Codex Security entende a aplicação e atualizar suposições para corresponder ao ambiente delas.

O que significa validação?

A validação é a etapa em que o Codex Security tenta reproduzir uma possível vulnerabilidade em um ambiente isolado antes de exibi-la. Isso tem o objetivo de reduzir falsos positivos e manter os achados relevantes.

O que acontece depois que um achado é validado?

Após a validação, o Codex Security propõe um patch que trata a causa raiz e pode ser transformado em uma pull request para revisão.

Este artigo foi útil?