OpenAI
Trang này được dịch bằng máy học. Xem bài viết gốc bằng tiếng Anh.

Bảo mật Codex

Đã cập nhật: 11 days ago

Codex Security là bản xem trước nghiên cứu giúp các nhóm xác định, xác thực và khắc phục lỗ hổng trong mã. Công cụ này được thiết kế để hoạt động giống một nhà nghiên cứu bảo mật hơn là một trình quét truyền thống: nó đọc mã, chạy kiểm thử, khám phá các đường tấn công thực tế và đề xuất bản vá để các nhóm có thể xem xét trong quy trình làm việc thông thường của họ.

Tổng quan

Hiện nay, Codex Security kết nối trực tiếp với các kho lưu trữ GitHub. Sau khi bạn bật một kho lưu trữ, nó sẽ xây dựng mô hình đe dọa riêng cho cơ sở mã, quét lịch sử kho lưu trữ, xác thực các lỗ hổng tiềm ẩn trong một môi trường biệt lập và hiển thị các bản sửa lỗi được đề xuất để con người xem xét.

Codex Security được xây dựng quanh ba giai đoạn: xác định, xác thực và khắc phục. Trong giai đoạn xác định, nó phân tích kho lưu trữ và khám phá các đường tấn công thực tế. Trong giai đoạn xác thực, nó cố gắng tái hiện từng vấn đề để xác nhận đó là vấn đề có thật. Trong giai đoạn khắc phục, nó tạo ra một bản vá cụ thể để các nhóm có thể xem xét và đưa vào một yêu cầu hợp nhất.

Cách Codex Security hoạt động

Khi Codex Security kết nối với một kho lưu trữ, nó quét các commit theo thứ tự thời gian đảo ngược và xây dựng một mô hình đe dọa riêng cho cơ sở mã. Mô hình đó ghi nhận các điểm vào của kẻ tấn công, ranh giới tin cậy, dữ liệu nhạy cảm và các đường dẫn mã có tác động lớn; Codex dùng thông tin này để tập trung phân tích vào các kịch bản tấn công thực tế. Các nhóm có thể kiểm tra và chỉnh sửa mô hình đe dọa để mô hình phản ánh các giả định triển khai thực tế của họ.

Codex Security tuân theo một quy trình khắc phục vòng kín:

  1. Quét kho lưu trữ: Codex kết nối với kho lưu trữ GitHub của bạn, phân tích cơ sở mã và xây dựng mô hình đe dọa từ kho lưu trữ cũng như lịch sử commit.

  2. Phát hiện lỗ hổng: Dựa trên mô hình đe dọa đó, Codex khám phá các đường dẫn mã thực tế và xác định các lỗ hổng tiềm ẩn.

  3. Xác thực trong sandbox: Codex chạy một trình xác thực tự động trong môi trường biệt lập để tái hiện vấn đề, ghi lại chi tiết thực thi và xác nhận khả năng khai thác trước khi hiển thị phát hiện.

  4. Tạo bản vá: Đối với các lỗ hổng đã được xác thực, Codex tạo ra một đề xuất bản vá tối thiểu để xử lý nguyên nhân gốc rễ.

  5. Con người xem xét và tạo yêu cầu hợp nhất: Bản vá sẽ không tự động sửa đổi mã của bạn. Nó được hiển thị để con người xem xét và có thể được chuyển thành một yêu cầu hợp nhất cho quy trình làm việc thông thường của bạn.

  6. Xác thực lại sau khi khắc phục: Sau khi một vấn đề đã được xác nhận được vá và hợp nhất, Codex có thể xác thực lại bản sửa lỗi, khép kín vòng lặp từ phát hiện đến khắc phục.

Đối với mỗi phát hiện, Codex Security có thể tạo ra phân tích đường tấn công cho thấy cách dữ liệu đầu vào do kẻ tấn công kiểm soát có thể di chuyển từ một điểm vào đến một kết quả nhạy cảm. Nó chấm điểm đường đó theo khả năng xảy ra và mức độ tác động, đồng thời làm rõ các giả định nền tảng, giúp các nhóm ưu tiên những rủi ro thực tế thay vì các cảnh báo rời rạc.

Trước khi hiển thị một phát hiện, Codex Security cố gắng tái hiện phát hiện đó trong một môi trường biệt lập. Trình xác thực ghi lại kết quả tái hiện, chi tiết thực thi và các hiện vật proof-of-concept để các nhóm có thể tập trung vào những phát hiện đã thực sự được chứng minh là hoạt động.

Đối với các phát hiện đã được xác thực, Codex Security đề xuất một bản vá tối thiểu để xử lý nguyên nhân gốc rễ. Nó không tự động sửa đổi mã của bạn. Thay vào đó, bản vá được hiển thị để con người xem xét và có thể được chuyển thành một yêu cầu hợp nhất trong quy trình làm việc hiện có của bạn.

Bắt đầu

  1. Truy cập chatgpt.com/codex/security.

  2. Kết nối và bật các kho lưu trữ GitHub mà bạn muốn Codex Security quét.

  3. Chờ quá trình quét ban đầu hoàn tất. Trước tiên, Codex Security xây dựng một mô hình đe dọa cho dự án và quét lịch sử kho lưu trữ để tìm các lỗ hổng hiện có. Việc này có thể mất nhiều thời gian hơn với các dự án lớn. Việc quét mã mới sẽ nhanh hơn.

  4. Xem lại các phát hiện, chi tiết xác thực và các bản vá được đề xuất.

Kiểm soát truy cập dựa trên vai trò (RBAC)

Đối với không gian làm việc Enterprise và Edu, quản trị viên có thể quản lý quyền truy cập Codex Security trong phần quyền của không gian làm việc. Codex Security yêu cầu cả quyền truy cập Codex Cloud và Codex Security đều được bật cho không gian làm việc. Quyền truy cập cũng có thể được giới hạn cho các vai trò hoặc nhóm cụ thể thông qua RBAC, bao gồm cả các nhóm được đồng bộ bằng SCIM.

Để cập nhật quyền của không gian làm việc:

  1. Trong ChatGPT, nhấp vào biểu tượng hồ sơ của bạn rồi chọn Workspace Settings -> Permissions để đi tới trang quyền của không gian làm việc.

  2. Cuộn xuống Codex Cloud.

  3. Đảm bảo quyền truy cập Codex Cloud đã được bật.

  4. Bật hoặc tắt quyền truy cập bằng cách chuyển đổi Cho phép thành viên sử dụng Codex Security.

Tìm hiểu thêm về Kiểm soát truy cập dựa trên vai trò trong không gian làm việc ChatGPT của bạn.

Phương pháp hay nhất

  • Hãy bắt đầu với một tập nhỏ kho lưu trữ và một nhóm người đánh giá chuyên trách. Chúng tôi khuyên bạn nên triển khai có trọng tâm lúc đầu, đặc biệt khi việc onboarding và chia sẻ lỗ hổng vẫn còn tương đối thủ công.

  • Tinh chỉnh mô hình đe dọa khi bạn học hỏi thêm. Những cập nhật nhỏ cho mô hình có thể cải thiện ngữ cảnh và giúp các phát hiện trở nên chính xác hơn theo thời gian.

  • Nếu hiện tại bạn chưa dùng GitHub Cloud, hãy cân nhắc bắt đầu với các kho lưu trữ có rủi ro thấp hơn hoặc không thuộc môi trường sản xuất để đánh giá. Điều đó có thể giúp các nhóm xây dựng sự tin tưởng vào quy trình làm việc trước khi áp dụng rộng rãi hơn.

  • Xem xét các PR bản vá được tạo bằng quy trình đánh giá thông thường của bạn. Chúng tôi cũng khuyên bạn nên dùng Codex Code Review cho các PR của Codex Security để việc khắc phục không gây ra lỗi hồi quy.

Câu hỏi thường gặp

Codex Security có tự động thay đổi mã của tôi không?

Không. Codex Security đề xuất một bản vá để con người xem xét. Đề xuất đó có thể được chuyển thành một yêu cầu hợp nhất, nhưng nó không tự động sửa đổi mã của bạn.

Codex Security có dựa vào fuzzing hoặc quét dựa trên chữ ký không?

Không. Codex Security sử dụng suy luận của mô hình ngôn ngữ, năng lực tính toán tại thời điểm kiểm thử, sử dụng công cụ và ngữ cảnh lớn, thay vì fuzzing hoặc quét dựa trên chữ ký.

Tôi có thể kiểm tra hoặc chỉnh sửa mô hình đe dọa không?

Có. Mô hình đe dọa có thể được xem và chỉnh sửa, nên các nhóm có thể kiểm tra cách Codex Security hiểu ứng dụng và cập nhật các giả định cho phù hợp với môi trường của họ.

Xác thực có nghĩa là gì?

Xác thực là bước mà Codex Security cố gắng tái hiện một lỗ hổng tiềm ẩn trong một môi trường biệt lập trước khi hiển thị nó. Việc này nhằm giảm các trường hợp dương tính giả và giữ cho các phát hiện có độ tín hiệu cao.

Điều gì xảy ra sau khi một phát hiện được xác thực?

Sau khi xác thực, Codex Security đề xuất một bản vá xử lý nguyên nhân gốc rễ và có thể được chuyển thành một yêu cầu hợp nhất để xem xét.

Bài viết này có hữu ích không?