Codex Security är en forskningsförhandsversion som är tillgänglig för användare av ChatGPT Enterprise, Edu, Business och Pro. Den hjälper team att identifiera, validera och åtgärda sårbarheter i kod. Den är utformad för att fungera mer som en säkerhetsforskare än en traditionell skanner: den läser kod, kör tester, utforskar realistiska angreppsvägar och föreslår patchar som team kan granska i sitt normala arbetsflöde.
Översikt
I dag ansluter Codex Security direkt till GitHub-förvar. När du har aktiverat ett förvar bygger den en kodbasspecifik hotmodell, skannar förvarshistoriken, validerar potentiella sårbarheter i en isolerad miljö och lyfter fram föreslagna korrigeringar för mänsklig granskning.
Codex Security är uppbyggt kring tre steg: identifiering, validering och åtgärdande. Under identifieringen analyserar den förvaret och utforskar realistiska angreppsvägar. Under valideringen försöker den återskapa varje problem för att bekräfta att det är verkligt. Under åtgärdandet genererar den en konkret patch som team kan granska och göra till en pull-begäran.
Så fungerar Codex Security
När Codex Security ansluter till ett förvar skannar den commits i omvänd kronologisk ordning och bygger en kodbasspecifik hotmodell. Den modellen fångar upp angripares ingångspunkter, förtroendegränser, känsliga data och kodvägar med stor påverkan, som Codex använder för att fokusera analysen på realistiska angreppsscenarier. Team kan granska och redigera hotmodellen så att den speglar deras verkliga driftsättningsantaganden.
Codex Security följer ett slutet arbetsflöde för åtgärdande:
Skanna förvaret: Codex ansluter till ditt GitHub-förvar, analyserar kodbasen och bygger en hotmodell utifrån förvaret och commithistoriken.
Upptäck sårbarheter: Med hjälp av den hotmodellen utforskar Codex realistiska kodvägar och identifierar potentiella sårbarheter.
Validera i en sandlåda: Codex kör en automatiserad validerare i en isolerad miljö för att återskapa problemet, samla in körningsinformation och bekräfta exploaterbarhet innan fyndet lyfts fram.
Generera en patch: För validerade sårbarheter tar Codex fram ett minimalt patchförslag som åtgärdar grundorsaken.
Mänsklig granskning och pull-begäran: Patchen ändrar inte din kod automatiskt. Den lyfts fram för mänsklig granskning och kan omvandlas till en pull-begäran för ditt normala arbetsflöde.
Validera om efter åtgärdande: När ett bekräftat problem har patchats och slagits samman kan Codex validera korrigeringen på nytt, vilket sluter loopen från upptäckt till åtgärdande.
För varje fynd kan Codex Security skapa en analys av angreppsvägen som visar hur angriparkontrollerad indata kan röra sig från en ingångspunkt till ett känsligt resultat. Den poängsätter vägen utifrån sannolikhet och påverkan och gör de underliggande antagandena synliga, vilket hjälper team att prioritera realistiska risker framför isolerade aviseringar.
Innan ett fynd lyfts fram försöker Codex Security återskapa det i en isolerad miljö. Valideraren registrerar reproduktionsresultat, körningsinformation och proof-of-concept-artefakter så att team kan fokusera på fynd som faktiskt har visats fungera.
För validerade fynd föreslår Codex Security en minimal patch som åtgärdar grundorsaken. Den ändrar inte din kod automatiskt. I stället lyfts patchen fram för mänsklig granskning och kan omvandlas till en pull-begäran i ditt befintliga arbetsflöde.
Kom igång
Gå till Codex Security.
Anslut och aktivera de GitHub-förvar som du vill att Codex Security ska skanna.
Vänta tills den inledande skanningen är klar. Codex Security bygger först en hotmodell för projektet och skannar förvarshistoriken efter befintliga sårbarheter. Det kan ta längre tid för stora projekt. Skanningar av ny kod går snabbare.
Granska fynd, valideringsinformation och föreslagna patchar.
Rollbaserade åtkomstkontroller (RBAC)
För Enterprise- och Edu-arbetsytor kan administratörer hantera åtkomst till Codex Security i arbetsytans behörigheter. Codex Security kräver att både åtkomst till Codex Cloud och Codex Security är aktiverad för arbetsytan. Åtkomst kan också begränsas till specifika roller eller grupper via RBAC, inklusive SCIM-synkroniserade grupper. För att låta medlemmar hantera skanningskonfigurationer för Codex Security aktiverar du även administratörsbehörigheten för Codex Security för lämplig roll eller grupp.
Så här uppdaterar du arbetsytans behörigheter:
I ChatGPT väljer du din profilikon och sedan Arbetsyteinställningar > Behörigheter för att öppna arbetsytans behörigheter.
Rulla ned till Codex Cloud.
Kontrollera att åtkomst till Codex Cloud är aktiverad.
Aktivera eller inaktivera åtkomst genom att växla Tillåt medlemmar att använda Codex Security.
Om rollen eller gruppen ska hantera skanningskonfigurationer aktiverar du också Tillåt medlemmar att administrera Codex Security.
Läs mer om rollbaserade åtkomstkontroller i din ChatGPT-arbetsyta.
Bästa praxis
Börja med en liten uppsättning förvar och en dedikerad grupp granskare. Vi rekommenderar en fokuserad utrullning i början, särskilt medan introduktion och delning av sårbarheter fortfarande är relativt manuellt.
Förfina hotmodellen allteftersom du lär dig. Små uppdateringar av modellen kan förbättra kontexten och göra fynden mer precisa över tid.
Om du inte använder GitHub Cloud i dag kan du överväga att börja med förvar med lägre risk eller förvar som inte används i produktion för utvärdering. Det kan hjälpa team att bygga förtroende för arbetsflödet innan det införs bredare.
Granska genererade patch-PR:er med er normala granskningsprocess. Vi rekommenderar också att använda Codex Code Review på PR:er från Codex Security så att åtgärderna inte introducerar regressioner.
Vanliga frågor
Ändrar Codex Security min kod automatiskt?
Nej. Codex Security föreslår en patch för mänsklig granskning. Det förslaget kan omvandlas till en pull-begäran, men det ändrar inte din kod automatiskt.
Förlitar sig Codex Security på fuzzning eller signaturbaserad skanning?
Nej. Codex Security använder språkmodellsresonemang, beräkning vid testtid, verktygsanvändning och stor kontext i stället för fuzzning eller signaturbaserad skanning.
Kan jag granska eller redigera hotmodellen?
Ja. Hotmodellen är synlig och redigerbar, så team kan granska hur Codex Security förstår applikationen och uppdatera antaganden så att de matchar deras miljö.
Vad innebär validering?
Validering är steget där Codex Security försöker återskapa en potentiell sårbarhet i en isolerad miljö innan den lyfts fram. Detta är avsett att minska falska positiva resultat och göra fynden mer träffsäkra.
Vad händer efter att ett fynd har validerats?
Efter validering föreslår Codex Security en patch som åtgärdar grundorsaken och kan omvandlas till en pull-begäran för granskning.
