OpenAI
Această pagină a fost tradusă automat. Vezi articolul original în limba engleză.

Securitate Codex

Actualizat: 23 days ago

Codex Security este o previzualizare de cercetare disponibilă pentru utilizatorii ChatGPT Enterprise, Edu, Business și Pro. Ajută echipele să identifice, să valideze și să remedieze vulnerabilitățile din cod. Este conceput să funcționeze mai degrabă ca un cercetător în securitate decât ca un scaner tradițional: citește cod, rulează teste, explorează căi de atac realiste și propune patch-uri pe care echipele le pot examina în fluxul lor de lucru normal.

Prezentare generală

În prezent, Codex Security se conectează direct la depozitele GitHub. După ce activezi un depozit, creează un model de amenințări specific bazei de cod, scanează istoricul depozitului, validează vulnerabilitățile potențiale într-un mediu izolat și afișează remedieri propuse pentru examinare umană.

Codex Security este construit în jurul a trei etape: identificare, validare și remediere. În timpul identificării, analizează depozitul și explorează căi de atac realiste. În timpul validării, încearcă să reproducă fiecare problemă pentru a confirma că este reală. În timpul remedierii, generează un patch concret pe care echipele îl pot examina și îl pot transforma într-o cerere de extragere.

Cum funcționează Codex Security

Când Codex Security se conectează la un depozit, scanează commiturile în ordine cronologică inversă și construiește un model de amenințări specific bazei de cod. Modelul respectiv surprinde punctele de intrare ale atacatorilor, limitele de încredere, datele sensibile și căile de cod cu impact ridicat, pe care Codex le folosește pentru a concentra analiza pe scenarii de atac realiste. Echipele pot inspecta și edita modelul de amenințări, astfel încât acesta să reflecte presupunerile lor reale de implementare.

Codex Security urmează un flux de lucru de remediere în buclă închisă:

  1. Scanează depozitul: Codex se conectează la depozitul tău GitHub, analizează baza de cod și construiește un model de amenințări din depozit și din istoricul commiturilor.

  2. Descoperă vulnerabilități: Folosind acel model de amenințări, Codex explorează căi de cod realiste și identifică vulnerabilități potențiale.

  3. Validează într-un sandbox: Codex rulează un validator automat într-un mediu izolat pentru a reproduce problema, a capta detaliile de execuție și a confirma exploatabilitatea înainte de a afișa constatarea.

  4. Generează un patch: Pentru vulnerabilitățile validate, Codex produce o sugestie minimă de patch care abordează cauza principală.

  5. Examinare umană și cerere de extragere: Patch-ul nu îți modifică automat codul. Este afișat pentru examinare umană și poate fi transformat într-o cerere de extragere pentru fluxul tău de lucru normal.

  6. Revalidează după remediere: După ce o problemă confirmată este corectată prin patch și îmbinată, Codex poate revalida remedierea, închizând bucla de la detectare la remediere.

Pentru fiecare constatare, Codex Security poate produce o analiză a căii de atac care arată cum datele introduse controlate de atacator se pot deplasa de la un punct de intrare la un rezultat sensibil. Evaluează acea cale în funcție de probabilitate și impact și face vizibile presupunerile de bază, ceea ce ajută echipele să prioritizeze riscurile realiste în locul alertelor izolate.

Înainte de a afișa o constatare, Codex Security încearcă să o reproducă într-un mediu izolat. Validatorul înregistrează rezultatele reproducerii, detaliile de execuție și artefactele de tip dovadă a conceptului, astfel încât echipele să se poată concentra pe constatările despre care s-a demonstrat efectiv că funcționează.

Pentru constatările validate, Codex Security propune un patch minim care abordează cauza principală. Nu îți modifică automat codul. În schimb, patch-ul este afișat pentru examinare umană și poate fi transformat într-o cerere de extragere în fluxul tău de lucru existent.

Începe

  1. Accesează Codex Security.

  2. Conectează și activează depozitele GitHub pe care vrei ca Codex Security să le scaneze.

  3. Așteaptă finalizarea scanării inițiale. Codex Security construiește mai întâi un model de amenințări pentru proiect și scanează istoricul depozitului pentru vulnerabilități existente. Acest lucru poate dura mai mult pentru proiectele mari. Scanările codului nou sunt mai rapide.

  4. Examinează constatările, detaliile de validare și patch-urile propuse.

Controluri de acces bazate pe roluri (RBAC)

Pentru spațiile de lucru Enterprise și Edu, administratorii pot gestiona accesul la Codex Security în permisiunile spațiului de lucru. Codex Security necesită ca atât accesul la Codex Cloud, cât și accesul la Codex Security să fie activate pentru spațiul de lucru. Accesul poate fi limitat și la anumite roluri sau grupuri prin RBAC, inclusiv grupuri sincronizate prin SCIM. Pentru a le permite membrilor să gestioneze configurațiile de scanare Codex Security, activează și permisiunea de administrare Codex Security pentru rolul sau grupul corespunzător.

Pentru a actualiza permisiunile spațiului tău de lucru:

  1. În ChatGPT, selectează pictograma profilului tău, apoi selectează Setările spațiului de lucru > Permisiuni pentru a deschide permisiunile spațiului de lucru.

  2. Derulează în jos la Codex Cloud.

  3. Asigură-te că accesul la Codex Cloud este activat.

  4. Activează sau dezactivează accesul comutând Permite membrilor să folosească Codex Security.

  5. Dacă rolul sau grupul ar trebui să gestioneze configurațiile de scanare, activează și Permite membrilor să administreze Codex Security.

Află mai multe despre controlurile de acces bazate pe roluri în spațiul tău de lucru ChatGPT.

Cele mai bune practici

  • Începe cu un set mic de depozite și un grup dedicat de examinatori. Recomandăm la început o lansare concentrată, mai ales cât timp integrarea și partajarea vulnerabilităților sunt încă relativ manuale.

  • Rafinează modelul de amenințări pe măsură ce înveți. Actualizările mici ale modelului pot îmbunătăți contextul și pot face constatările mai precise în timp.

  • Dacă nu folosești în prezent GitHub Cloud, ia în considerare să începi evaluarea cu depozite cu risc mai scăzut sau care nu sunt de producție. Acest lucru poate ajuta echipele să capete încredere în fluxul de lucru înainte de o adoptare mai largă.

  • Examinează PR-urile de patch generate folosind procesul tău normal de examinare. Recomandăm și utilizarea Codex Code Review pentru PR-urile Codex Security, astfel încât remedierea să nu introducă regresii.

Întrebări frecvente

Codex Security îmi modifică automat codul?

Nu. Codex Security propune un patch pentru examinare umană. Propunerea respectivă poate fi transformată într-o cerere de extragere, dar nu îți modifică automat codul.

Codex Security se bazează pe fuzzing sau pe scanare bazată pe semnături?

Nu. Codex Security folosește raţionament bazat pe modele lingvistice, calcul la momentul testării, utilizarea instrumentelor și context amplu, în loc de fuzzing sau scanare bazată pe semnături.

Pot inspecta sau edita modelul de amenințări?

Da. Modelul de amenințări este vizibil și editabil, astfel încât echipele pot inspecta modul în care Codex Security înțelege aplicația și pot actualiza presupunerile pentru a se potrivi mediului lor.

Ce înseamnă validarea?

Validarea este etapa în care Codex Security încearcă să reproducă o vulnerabilitate potențială într-un mediu izolat înainte de a o afișa. Acest lucru este menit să reducă rezultatele fals pozitive și să mențină constatările cu semnal ridicat.

Ce se întâmplă după ce o constatare este validată?

După validare, Codex Security propune un patch care abordează cauza principală și poate fi transformat într-o cerere de extragere pentru examinare.

A fost util acest articol?