OpenAI
Táto stránka bola strojovo preložená. Prečítaj si pôvodný článok v angličtine.

Bezpečnosť Codex

Aktualizované: 10 days ago

Codex Security je výskumná ukážka dostupná pre používateľov ChatGPT Enterprise, Edu, Business a Pro. Pomáha tímom identifikovať, overovať a odstraňovať zraniteľnosti v kóde. Je navrhnutý tak, aby fungoval skôr ako bezpečnostný výskumník než tradičný skener: číta kód, spúšťa testy, skúma realistické cesty útoku a navrhuje opravy, ktoré môžu tímy skontrolovať vo svojom bežnom pracovnom postupe.

Prehľad

Codex Security sa dnes pripája priamo k repozitárom GitHub. Po povolení repozitára vytvorí model hrozieb špecifický pre danú kódovú základňu, skenuje históriu repozitára, overuje potenciálne zraniteľnosti v izolovanom prostredí a zobrazí navrhované opravy na kontrolu človekom.

Codex Security je postavený na troch fázach: identifikácia, overenie a náprava. Počas identifikácie analyzuje repozitár a skúma realistické cesty útoku. Počas overovania sa pokúša reprodukovať každý problém, aby potvrdil, že je skutočný. Počas nápravy vygeneruje konkrétnu opravu, ktorú môžu tímy skontrolovať a vytvoriť z nej žiadosť o zlúčenie.

Ako funguje Codex Security

Keď sa Codex Security pripojí k repozitáru, skenuje commity v obrátenom chronologickom poradí a vytvorí model hrozieb špecifický pre danú kódovú základňu. Tento model zachytáva vstupné body útočníka, hranice dôvery, citlivé údaje a kódové cesty s vysokým dopadom, ktoré Codex používa na zameranie analýzy na realistické scenáre útoku. Tímy môžu model hrozieb skontrolovať a upraviť tak, aby odrážal ich skutočné predpoklady nasadenia.

Codex Security používa pracovný postup nápravy s uzavretou slučkou:

  1. Skenovanie repozitára: Codex sa pripojí k vášmu repozitáru GitHub, analyzuje kódovú základňu a vytvorí model hrozieb z repozitára a histórie commitov.

  2. Objavenie zraniteľností: Pomocou tohto modelu hrozieb Codex skúma realistické kódové cesty a identifikuje potenciálne zraniteľnosti.

  3. Overenie v sandboxe: Codex spustí automatizovaný validátor v izolovanom prostredí, aby reprodukoval problém, zachytil podrobnosti vykonania a potvrdil zneužiteľnosť skôr, než zistenie zobrazí.

  4. Vygenerovanie opravy: Pri overených zraniteľnostiach Codex vytvorí návrh minimálnej opravy, ktorá rieši hlavnú príčinu.

  5. Kontrola človekom a žiadosť o zlúčenie: Oprava automaticky neupravuje váš kód. Zobrazí sa na kontrolu človekom a možno ju premeniť na žiadosť o zlúčenie v rámci vášho bežného pracovného postupu.

  6. Opätovné overenie po náprave: Po opravení a zlúčení potvrdeného problému môže Codex opravu znovu overiť, čím uzavrie slučku od detekcie po nápravu.

Pre každé zistenie môže Codex Security vytvoriť analýzu cesty útoku, ktorá ukazuje, ako by sa vstup ovládaný útočníkom mohol presunúť zo vstupného bodu k citlivému výsledku. Túto cestu hodnotí podľa pravdepodobnosti a dopadu a zviditeľňuje základné predpoklady, čo tímom pomáha uprednostniť realistické riziká pred izolovanými upozorneniami.

Pred zobrazením zistenia sa ho Codex Security pokúša reprodukovať v izolovanom prostredí. Validátor zaznamenáva výsledky reprodukcie, podrobnosti vykonania a artefakty proof-of-concept, aby sa tímy mohli sústrediť na zistenia, pri ktorých sa skutočne preukázalo, že fungujú.

Pri overených zisteniach Codex Security navrhne minimálnu opravu, ktorá rieši hlavnú príčinu. Automaticky neupravuje váš kód. Namiesto toho sa oprava zobrazí na kontrolu človekom a možno ju premeniť na žiadosť o zlúčenie v rámci vášho existujúceho pracovného postupu.

Začíname

  1. Prejdite na Codex Security.

  2. Pripojte a povoľte repozitáre GitHub, ktoré má Codex Security skenovať.

  3. Počkajte na dokončenie úvodného skenovania. Codex Security najprv vytvorí model hrozieb pre projekt a skenuje históriu repozitára na existujúce zraniteľnosti. Pri veľkých projektoch to môže trvať dlhšie. Skenovania nového kódu sú rýchlejšie.

  4. Skontrolujte zistenia, podrobnosti overenia a navrhované opravy.

Riadenie prístupu na základe rolí (RBAC)

V pracovných priestoroch Enterprise a Edu môžu správcovia spravovať prístup ku Codex Security v povoleniach pracovného priestoru. Codex Security vyžaduje, aby bol pre pracovný priestor povolený prístup ku Codex Cloud aj ku Codex Security. Prístup možno prostredníctvom RBAC obmedziť aj na konkrétne roly alebo skupiny vrátane skupín synchronizovaných cez SCIM. Ak chcete členom umožniť spravovať konfigurácie skenovania Codex Security, povoľte pre príslušnú rolu alebo skupinu aj správcovské povolenie Codex Security.

Ak chcete aktualizovať povolenia svojho pracovného priestoru:

  1. V ChatGPT vyberte ikonu svojho profilu a potom výberom položiek Nastavenia pracovného priestoru > Povolenia otvorte povolenia pracovného priestoru.

  2. Posuňte sa nadol na Codex Cloud.

  3. Uistite sa, že prístup ku Codex Cloud je povolený.

  4. Povoľte alebo zakážte prístup prepnutím možnosti Povoliť členom používať Codex Security.

  5. Ak má rola alebo skupina spravovať konfigurácie skenovania, povoľte aj možnosť Povoliť členom spravovať Codex Security.

Prečítajte si viac o riadení prístupu na základe rolí vo vašom pracovnom priestore ChatGPT.

Osvedčené postupy

  • Začnite s malou množinou repozitárov a vyhradenou skupinou kontrolórov. Na začiatok odporúčame cielené zavádzanie, najmä kým sú onboarding a zdieľanie zraniteľností stále relatívne manuálne.

  • Model hrozieb priebežne spresňujte podľa toho, čo sa naučíte. Malé aktualizácie modelu môžu zlepšiť kontext a postupne spresniť zistenia.

  • Ak dnes nepoužívate GitHub Cloud, zvážte začiatok hodnotenia s menej rizikovými alebo neprodukčnými repozitármi. Tímom to môže pomôcť získať dôveru v pracovný postup pred širším prijatím.

  • Kontrolujte vygenerované PR opráv pomocou svojho bežného procesu kontroly. Odporúčame tiež používať Codex Code Review pri PR z Codex Security, aby náprava nezaviedla regresie.

Často kladené otázky

Mení Codex Security automaticky môj kód?

Nie. Codex Security navrhuje opravu na kontrolu človekom. Tento návrh možno premeniť na žiadosť o zlúčenie, ale automaticky neupravuje váš kód.

Spolieha sa Codex Security na fuzzing alebo skenovanie založené na signatúrach?

Nie. Codex Security používa uvažovanie jazykových modelov, výpočty počas testovania, používanie nástrojov a rozsiahly kontext namiesto fuzzingu alebo skenovania založeného na signatúrach.

Môžem skontrolovať alebo upraviť model hrozieb?

Áno. Model hrozieb je viditeľný a upraviteľný, takže tímy môžu skontrolovať, ako Codex Security chápe aplikáciu, a aktualizovať predpoklady tak, aby zodpovedali ich prostrediu.

Čo znamená overenie?

Overenie je krok, pri ktorom sa Codex Security pokúša reprodukovať potenciálnu zraniteľnosť v izolovanom prostredí skôr, než ju zobrazí. Cieľom je znížiť počet falošne pozitívnych výsledkov a udržať vysokú hodnotu zistení.

Čo sa stane po overení zistenia?

Po overení Codex Security navrhne opravu, ktorá rieši hlavnú príčinu a dá sa premeniť na žiadosť o zlúčenie na kontrolu.

Bol tento článok užitočný?