Codex Security เป็นพรีวิวงานวิจัยที่พร้อมใช้งานสำหรับผู้ใช้ ChatGPT Enterprise, Edu, Business และ Pro ช่วยให้ทีมระบุ ตรวจสอบยืนยัน และแก้ไขช่องโหว่ในโค้ด ออกแบบมาให้ทำงานเหมือนนักวิจัยด้านความปลอดภัยมากกว่าสแกนเนอร์แบบดั้งเดิม โดยอ่านโค้ด รันการทดสอบ สำรวจเส้นทางการโจมตีที่สมจริง และเสนอแพตช์ที่ทีมสามารถตรวจสอบได้ในเวิร์กโฟลว์ปกติ
ภาพรวม
ปัจจุบัน Codex Security เชื่อมต่อกับ Repository บน GitHub โดยตรง หลังจากคุณเปิดใช้งาน Repository แล้ว ระบบจะสร้างโมเดลภัยคุกคามเฉพาะโค้ดเบส สแกนประวัติ Repository ตรวจสอบยืนยันช่องโหว่ที่อาจเกิดขึ้นในสภาพแวดล้อมที่แยกออกมา และแสดงการแก้ไขที่เสนอเพื่อให้มนุษย์ตรวจสอบ
Codex Security สร้างขึ้นโดยมีสามขั้นตอนหลัก ได้แก่ การระบุ การตรวจสอบยืนยัน และการแก้ไข ระหว่างการระบุ ระบบจะวิเคราะห์ Repository และสำรวจเส้นทางการโจมตีที่สมจริง ระหว่างการตรวจสอบยืนยัน ระบบจะพยายามสร้างแต่ละปัญหาซ้ำเพื่อยืนยันว่าเป็นปัญหาจริง ระหว่างการแก้ไข ระบบจะสร้างแพตช์ที่เป็นรูปธรรมซึ่งทีมสามารถตรวจสอบและยกระดับเป็น Pull Request ได้
Codex Security ทำงานอย่างไร
เมื่อ Codex Security เชื่อมต่อกับ Repository ระบบจะสแกนคอมมิตตามลำดับเวลาย้อนกลับและสร้างโมเดลภัยคุกคามเฉพาะโค้ดเบส โมเดลนั้นจะบันทึกจุดเข้าของผู้โจมตี ขอบเขตความไว้วางใจ ข้อมูลละเอียดอ่อน และเส้นทางโค้ดที่มีผลกระทบสูง ซึ่ง Codex ใช้เพื่อมุ่งเน้นการวิเคราะห์ไปที่สถานการณ์โจมตีที่สมจริง ทีมสามารถตรวจสอบและแก้ไขโมเดลภัยคุกคามเพื่อให้สะท้อนสมมติฐานการปรับใช้จริงของตน
Codex Security ทำตามเวิร์กโฟลว์การแก้ไขแบบวงปิด:
สแกน Repository: Codex เชื่อมต่อกับ Repository บน GitHub ของคุณ วิเคราะห์โค้ดเบส และสร้างโมเดลภัยคุกคามจาก Repository และประวัติคอมมิต
ค้นพบช่องโหว่: ด้วยโมเดลภัยคุกคามนั้น Codex จะสำรวจเส้นทางโค้ดที่สมจริงและระบุช่องโหว่ที่อาจเกิดขึ้น
ตรวจสอบยืนยันในแซนด์บ็อกซ์: Codex รันตัวตรวจสอบอัตโนมัติในสภาพแวดล้อมที่แยกออกมาเพื่อสร้างปัญหาซ้ำ บันทึกรายละเอียดการดำเนินการ และยืนยันความสามารถในการถูกโจมตีก่อนแสดงการค้นพบ
สร้างแพตช์: สำหรับช่องโหว่ที่ตรวจสอบยืนยันแล้ว Codex จะสร้างข้อเสนอแพตช์ขั้นต่ำที่แก้ไขสาเหตุหลัก
การตรวจสอบโดยมนุษย์และ Pull Request: แพตช์จะไม่แก้ไขโค้ดของคุณโดยอัตโนมัติ แพตช์จะแสดงให้มนุษย์ตรวจสอบและสามารถเปลี่ยนเป็น Pull Request สำหรับเวิร์กโฟลว์ปกติของคุณได้
ตรวจสอบยืนยันซ้ำหลังการแก้ไข: หลังจากปัญหาที่ได้รับการยืนยันถูกแพตช์และผสานแล้ว Codex สามารถตรวจสอบยืนยันการแก้ไขซ้ำได้ เพื่อปิดวงจรตั้งแต่การตรวจพบไปจนถึงการแก้ไข
สำหรับการค้นพบแต่ละรายการ Codex Security สามารถสร้างการวิเคราะห์เส้นทางการโจมตีที่แสดงว่าอินพุตที่ผู้โจมตีควบคุมสามารถเคลื่อนจากจุดเข้าไปสู่ผลลัพธ์ที่ละเอียดอ่อนได้อย่างไร ระบบให้คะแนนเส้นทางนั้นตามความเป็นไปได้และผลกระทบ พร้อมแสดงสมมติฐานเบื้องหลัง ซึ่งช่วยให้ทีมจัดลำดับความสำคัญของความเสี่ยงที่สมจริงเหนือการแจ้งเตือนแบบแยกส่วน
ก่อนแสดงการค้นพบ Codex Security จะพยายามสร้างปัญหานั้นซ้ำในสภาพแวดล้อมที่แยกออกมา ตัวตรวจสอบจะบันทึกผลการสร้างซ้ำ รายละเอียดการดำเนินการ และอาร์ติแฟกต์พิสูจน์แนวคิด เพื่อให้ทีมมุ่งเน้นการค้นพบที่แสดงให้เห็นแล้วว่าใช้งานได้จริง
สำหรับการค้นพบที่ตรวจสอบยืนยันแล้ว Codex Security จะเสนอแพตช์ขั้นต่ำที่แก้ไขสาเหตุหลัก ระบบจะไม่แก้ไขโค้ดของคุณโดยอัตโนมัติ แต่แพตช์จะแสดงให้มนุษย์ตรวจสอบ และสามารถเปลี่ยนเป็น Pull Request ในเวิร์กโฟลว์ที่มีอยู่ของคุณได้
เริ่มต้นใช้งาน
ไปที่ Codex Security
เชื่อมต่อและเปิดใช้งาน Repository บน GitHub ที่คุณต้องการให้ Codex Security สแกน
รอให้การสแกนครั้งแรกเสร็จสิ้น ก่อนอื่น Codex Security จะสร้างโมเดลภัยคุกคามสำหรับโปรเจ็กต์และสแกนประวัติ Repository เพื่อหาช่องโหว่ที่มีอยู่ อาจใช้เวลานานขึ้นสำหรับโปรเจ็กต์ขนาดใหญ่ การสแกนโค้ดใหม่จะเร็วกว่า
ตรวจสอบการค้นพบ รายละเอียดการตรวจสอบยืนยัน และแพตช์ที่เสนอ
การควบคุมการเข้าถึงตามบทบาท (RBAC)
สำหรับเวิร์กสเปซ Enterprise และ Edu ผู้ดูแลระบบสามารถจัดการการเข้าถึง Codex Security ได้ในสิทธิ์ของเวิร์กสเปซ Codex Security ต้องเปิดใช้งานทั้งการเข้าถึง Codex Cloud และ Codex Security สำหรับเวิร์กสเปซ ยังสามารถจำกัดการเข้าถึงไว้เฉพาะบทบาทหรือกลุ่มที่กำหนดผ่าน RBAC รวมถึงกลุ่มที่ซิงค์ด้วย SCIM หากต้องการให้สมาชิกจัดการการกำหนดค่าการสแกนของ Codex Security ให้เปิดใช้สิทธิ์ผู้ดูแลระบบ Codex Security สำหรับบทบาทหรือกลุ่มที่เหมาะสมด้วย
วิธีอัปเดตสิทธิ์ของเวิร์กสเปซของคุณ:
ใน ChatGPT ให้เลือกไอคอนโปรไฟล์ของคุณ จากนั้นเลือก Workspace Settings > Permissions เพื่อเปิดสิทธิ์ของเวิร์กสเปซ
เลื่อนลงไปที่ Codex Cloud
ตรวจสอบให้แน่ใจว่าเปิดใช้งานการเข้าถึง Codex Cloud แล้ว
เปิดหรือปิดการเข้าถึงโดยสลับ Allow members to use Codex Security.
หากบทบาทหรือกลุ่มควรจัดการการกำหนดค่าการสแกน ให้เปิดใช้ Allow members to administer Codex Security. ด้วย
เรียนรู้เพิ่มเติมเกี่ยวกับการควบคุมการเข้าถึงตามบทบาทในเวิร์กสเปซ ChatGPT ของคุณ
แนวทางปฏิบัติที่ดีที่สุด
เริ่มต้นด้วย Repository จำนวนไม่มากและกลุ่มผู้ตรวจสอบเฉพาะทาง เราแนะนำให้เริ่มต้นด้วยการเปิดตัวแบบมุ่งเน้น โดยเฉพาะในช่วงที่การเริ่มใช้งานและการแชร์ช่องโหว่ยังค่อนข้างเป็นแบบแมนนวล
ปรับแต่งโมเดลภัยคุกคามเมื่อคุณเรียนรู้มากขึ้น การอัปเดตโมเดลเล็กน้อยสามารถปรับปรุงบริบทและทำให้การค้นพบแม่นยำขึ้นเมื่อเวลาผ่านไป
หากปัจจุบันคุณไม่ได้ใช้ GitHub Cloud ให้พิจารณาเริ่มต้นด้วย Repository ที่มีความเสี่ยงต่ำกว่าหรือไม่ใช่ระบบโปรดักชันเพื่อการประเมิน สิ่งนี้ช่วยให้ทีมสร้างความมั่นใจในเวิร์กโฟลว์ก่อนนำไปใช้ในวงกว้าง
ตรวจสอบ PR ของแพตช์ที่สร้างขึ้นด้วยกระบวนการตรวจสอบปกติของคุณ เรายังแนะนำให้ใช้ Codex Code Review กับ PR ของ Codex Security เพื่อให้การแก้ไขไม่ก่อให้เกิดรีเกรสชัน
คำถามที่พบบ่อย
Codex Security เปลี่ยนแปลงโค้ดของฉันโดยอัตโนมัติหรือไม่
ไม่ Codex Security เสนอแพตช์เพื่อให้มนุษย์ตรวจสอบ ข้อเสนอนั้นสามารถเปลี่ยนเป็น Pull Request ได้ แต่จะไม่แก้ไขโค้ดของคุณโดยอัตโนมัติ
Codex Security อาศัยการทำ fuzzing หรือการสแกนตามลายเซ็นหรือไม่
ไม่ Codex Security ใช้การให้เหตุผลของโมเดลภาษา การประมวลผลระหว่างการทดสอบ การใช้เครื่องมือ และบริบทขนาดใหญ่ แทนการทำ fuzzing หรือการสแกนตามลายเซ็น
ฉันสามารถตรวจสอบหรือแก้ไขโมเดลภัยคุกคามได้หรือไม่
ได้ โมเดลภัยคุกคามสามารถดูและแก้ไขได้ ทีมจึงสามารถตรวจสอบว่า Codex Security เข้าใจแอปพลิเคชันอย่างไร และอัปเดตสมมติฐานให้ตรงกับสภาพแวดล้อมของตน
การตรวจสอบยืนยันหมายถึงอะไร
การตรวจสอบยืนยันคือขั้นตอนที่ Codex Security พยายามสร้างช่องโหว่ที่อาจเกิดขึ้นซ้ำในสภาพแวดล้อมที่แยกออกมา ก่อนจะแสดงผล สิ่งนี้มีไว้เพื่อลดผลบวกเทียมและทำให้การค้นพบมีสัญญาณที่ชัดเจน
เกิดอะไรขึ้นหลังจากการค้นพบได้รับการตรวจสอบยืนยันแล้ว
หลังการตรวจสอบยืนยัน Codex Security จะเสนอแพตช์ที่แก้ไขสาเหตุหลัก และสามารถเปลี่ยนเป็น Pull Request เพื่อให้ตรวจสอบได้