OpenAI
Trang này được dịch bằng máy học. Xem bài viết gốc bằng tiếng Anh.

Bảo mật Codex

Đã cập nhật: 28 days ago

Codex Security là bản xem trước nghiên cứu dành cho người dùng ChatGPT Enterprise, Edu, Business và Pro. Nó giúp các nhóm xác định, xác thực và khắc phục lỗ hổng trong mã. Nó được thiết kế để hoạt động giống một nhà nghiên cứu bảo mật hơn là một trình quét truyền thống: đọc mã, chạy kiểm thử, khám phá các đường tấn công thực tế và đề xuất bản vá để các nhóm xem xét trong quy trình làm việc thông thường.

Tổng quan

Hiện nay, Codex Security kết nối trực tiếp với các kho lưu trữ GitHub. Sau khi bạn bật một kho lưu trữ, nó xây dựng mô hình mối đe dọa riêng cho cơ sở mã, quét lịch sử kho lưu trữ, xác thực các lỗ hổng tiềm ẩn trong môi trường cô lập và hiển thị các bản sửa lỗi được đề xuất để con người xem xét.

Codex Security được xây dựng xoay quanh ba giai đoạn: xác định, xác thực và khắc phục. Trong giai đoạn xác định, nó phân tích kho lưu trữ và khám phá các đường tấn công thực tế. Trong giai đoạn xác thực, nó cố gắng tái hiện từng vấn đề để xác nhận vấn đề đó là thật. Trong giai đoạn khắc phục, nó tạo một bản vá cụ thể để các nhóm xem xét và đưa thành yêu cầu hợp nhất.

Cách Codex Security hoạt động

Khi Codex Security kết nối với một kho lưu trữ, nó quét các commit theo thứ tự thời gian ngược và xây dựng mô hình mối đe dọa riêng cho cơ sở mã. Mô hình đó ghi nhận các điểm xâm nhập của kẻ tấn công, ranh giới tin cậy, dữ liệu nhạy cảm và các đường mã có tác động cao, mà Codex dùng để tập trung phân tích vào các kịch bản tấn công thực tế. Các nhóm có thể kiểm tra và chỉnh sửa mô hình mối đe dọa để mô hình phản ánh các giả định triển khai thực tế của họ.

Codex Security tuân theo quy trình khắc phục vòng kín:

  1. Quét kho lưu trữ: Codex kết nối với kho lưu trữ GitHub của bạn, phân tích cơ sở mã và xây dựng mô hình mối đe dọa từ kho lưu trữ và lịch sử commit.

  2. Phát hiện lỗ hổng: Sử dụng mô hình mối đe dọa đó, Codex khám phá các đường mã thực tế và xác định các lỗ hổng tiềm ẩn.

  3. Xác thực trong sandbox: Codex chạy trình xác thực tự động trong môi trường cô lập để tái hiện vấn đề, ghi lại chi tiết thực thi và xác nhận khả năng khai thác trước khi hiển thị phát hiện.

  4. Tạo bản vá: Đối với các lỗ hổng đã được xác thực, Codex tạo đề xuất bản vá tối thiểu để xử lý nguyên nhân gốc rễ.

  5. Con người xem xét và yêu cầu hợp nhất: Bản vá không tự động sửa đổi mã của bạn. Bản vá được hiển thị để con người xem xét và có thể được chuyển thành yêu cầu hợp nhất cho quy trình làm việc thông thường của bạn.

  6. Xác thực lại sau khi khắc phục: Sau khi một vấn đề đã xác nhận được vá và hợp nhất, Codex có thể xác thực lại bản sửa lỗi, khép kín vòng lặp từ phát hiện đến khắc phục.

Đối với mỗi phát hiện, Codex Security có thể tạo phân tích đường tấn công cho thấy dữ liệu đầu vào do kẻ tấn công kiểm soát có thể di chuyển từ điểm xâm nhập đến một kết quả nhạy cảm như thế nào. Nó chấm điểm đường đó theo khả năng xảy ra và tác động, đồng thời hiển thị các giả định bên dưới, giúp các nhóm ưu tiên rủi ro thực tế hơn các cảnh báo riêng lẻ.

Trước khi hiển thị một phát hiện, Codex Security cố gắng tái hiện phát hiện đó trong môi trường cô lập. Trình xác thực ghi lại kết quả tái hiện, chi tiết thực thi và các hiện vật chứng minh khái niệm để các nhóm có thể tập trung vào những phát hiện đã thực sự được chứng minh là hoạt động.

Đối với các phát hiện đã được xác thực, Codex Security đề xuất một bản vá tối thiểu để xử lý nguyên nhân gốc rễ. Nó không tự động sửa đổi mã của bạn. Thay vào đó, bản vá được hiển thị để con người xem xét và có thể được chuyển thành yêu cầu hợp nhất trong quy trình làm việc hiện có của bạn.

Bắt đầu

  1. Truy cập Codex Security.

  2. Kết nối và bật các kho lưu trữ GitHub mà bạn muốn Codex Security quét.

  3. Chờ quá trình quét ban đầu hoàn tất. Trước tiên, Codex Security xây dựng mô hình mối đe dọa cho dự án và quét lịch sử kho lưu trữ để tìm các lỗ hổng hiện có. Quá trình này có thể mất nhiều thời gian hơn đối với các dự án lớn. Quét mã mới sẽ nhanh hơn.

  4. Xem xét các phát hiện, chi tiết xác thực và bản vá được đề xuất.

Kiểm soát truy cập dựa trên vai trò (RBAC)

Đối với không gian làm việc Enterprise và Edu, quản trị viên có thể quản lý quyền truy cập Codex Security trong phần quyền của không gian làm việc. Codex Security yêu cầu bật cả quyền truy cập Codex Cloud và Codex Security cho không gian làm việc. Quyền truy cập cũng có thể được giới hạn cho các vai trò hoặc nhóm cụ thể thông qua RBAC, bao gồm cả các nhóm được đồng bộ hóa bằng SCIM. Để cho phép thành viên quản lý cấu hình quét Codex Security, hãy bật thêm quyền quản trị Codex Security cho vai trò hoặc nhóm phù hợp.

Để cập nhật quyền của không gian làm việc:

  1. Trong ChatGPT, chọn biểu tượng hồ sơ của bạn, rồi chọn Cài đặt không gian làm việc > Quyền để mở quyền của không gian làm việc.

  2. Cuộn xuống Codex Cloud.

  3. Đảm bảo quyền truy cập Codex Cloud đã được bật.

  4. Bật hoặc tắt quyền truy cập bằng cách chuyển đổi Cho phép thành viên sử dụng Codex Security.

  5. Nếu vai trò hoặc nhóm cần quản lý cấu hình quét, hãy bật thêm Cho phép thành viên quản trị Codex Security.

Tìm hiểu thêm về kiểm soát truy cập dựa trên vai trò trong không gian làm việc ChatGPT của bạn.

Các phương pháp hay nhất

  • Bắt đầu với một nhóm nhỏ các kho lưu trữ và một nhóm người xem xét chuyên trách. Chúng tôi khuyến nghị triển khai tập trung lúc đầu, đặc biệt khi việc làm quen và chia sẻ lỗ hổng vẫn còn tương đối thủ công.

  • Tinh chỉnh mô hình mối đe dọa khi bạn học hỏi thêm. Những cập nhật nhỏ cho mô hình có thể cải thiện ngữ cảnh và giúp các phát hiện chính xác hơn theo thời gian.

  • Nếu hiện tại bạn không sử dụng GitHub Cloud, hãy cân nhắc bắt đầu với các kho lưu trữ rủi ro thấp hơn hoặc không dùng cho môi trường sản xuất để đánh giá. Điều đó có thể giúp các nhóm xây dựng sự tự tin vào quy trình làm việc trước khi áp dụng rộng rãi hơn.

  • Xem xét các PR bản vá được tạo bằng quy trình xem xét thông thường của bạn. Chúng tôi cũng khuyến nghị sử dụng Codex Code Review trên các PR của Codex Security để việc khắc phục không gây ra hồi quy.

Câu hỏi thường gặp

Codex Security có tự động thay đổi mã của tôi không?

Không. Codex Security đề xuất một bản vá để con người xem xét. Đề xuất đó có thể được chuyển thành yêu cầu hợp nhất, nhưng không tự động sửa đổi mã của bạn.

Codex Security có dựa vào fuzzing hoặc quét dựa trên chữ ký không?

Không. Codex Security sử dụng suy luận của mô hình ngôn ngữ, tính toán tại thời điểm kiểm thử, sử dụng công cụ và ngữ cảnh lớn, thay vì fuzzing hoặc quét dựa trên chữ ký.

Tôi có thể kiểm tra hoặc chỉnh sửa mô hình mối đe dọa không?

Có. Mô hình mối đe dọa có thể xem và chỉnh sửa, vì vậy các nhóm có thể kiểm tra cách Codex Security hiểu ứng dụng và cập nhật các giả định cho phù hợp với môi trường của họ.

Xác thực nghĩa là gì?

Xác thực là bước Codex Security cố gắng tái hiện một lỗ hổng tiềm ẩn trong môi trường cô lập trước khi hiển thị lỗ hổng đó. Mục đích là giảm kết quả dương tính giả và giữ cho các phát hiện có tín hiệu cao.

Điều gì xảy ra sau khi một phát hiện được xác thực?

Sau khi xác thực, Codex Security đề xuất một bản vá xử lý nguyên nhân gốc rễ và có thể được chuyển thành yêu cầu hợp nhất để xem xét.

Bài viết này có hữu ích không?