OpenAI
此頁面由機器翻譯。查看原文英文文章

Codex 安全性

更新日期:13 days ago

Codex Security 是一項研究預覽,可協助團隊識別、驗證及修補程式碼中的漏洞。它的設計更像安全研究員,而非傳統掃描器:會讀取程式碼、執行測試、探索真實攻擊路徑,並提出可讓團隊在日常工作流程中審核的修補建議。

概覽

現時,Codex Security 可直接連接 GitHub 程式碼庫。當你啟用程式碼庫後,它會建立針對該程式碼庫的威脅模型、掃描程式碼庫歷史記錄、在隔離環境中驗證潛在漏洞,並顯示建議修正供人工審核。

Codex Security 建基於三個階段:識別、驗證及修補。在識別階段,它會分析程式碼庫並探索真實攻擊路徑。在驗證階段,它會嘗試重現每個問題,以確認問題確實存在。在修補階段,它會產生具體修補程式,讓團隊可審核並建立為拉取請求。

Codex Security 的運作方式

當 Codex Security 連接至程式碼庫時,會按時間倒序掃描提交,並建立針對該程式碼庫的威脅模型。該模型會擷取攻擊者入口點、信任邊界、敏感資料及高影響程式碼路徑,讓 Codex 可將分析聚焦於真實攻擊情境。團隊可檢視及編輯威脅模型,使其反映實際部署假設。

Codex Security 採用封閉循環的修補工作流程:

  1. 掃描程式碼庫:Codex 會連接你的 GitHub 程式碼庫、分析程式碼庫,並根據程式碼庫及提交歷史建立威脅模型。

  2. 發現漏洞:Codex 會利用該威脅模型探索真實程式碼路徑,並識別潛在漏洞。

  3. 在沙盒中驗證:Codex 會在隔離環境中執行自動驗證器,以重現問題、擷取執行詳情,並在顯示發現前確認可被利用性。

  4. 產生修補程式:對於已驗證的漏洞,Codex 會提供針對根本原因的最小修補建議。

  5. 人工審核及拉取請求:修補程式不會自動修改你的程式碼。系統會將其顯示以供人工審核,並可轉為配合你日常工作流程的拉取請求。

  6. 修補後重新驗證:在已確認的問題完成修補及合併後,Codex 可重新驗證修正,完成由偵測到修補的閉環。

對於每項發現,Codex Security 可產生攻擊路徑分析,顯示由攻擊者控制的輸入如何從入口點移動至敏感結果。它會按可能性及影響為該路徑評分,並顯示相關基本假設,協助團隊優先處理真實風險,而非零散警示。

在顯示發現前,Codex Security 會嘗試在隔離環境中重現該發現。驗證器會記錄重現結果、執行詳情及概念驗證成品,讓團隊可聚焦於已被實際證明可行的發現。

對於已驗證的發現,Codex Security 會提出針對根本原因的最小修補程式。它不會自動修改你的程式碼。相反,系統會將修補程式顯示以供人工審核,並可在你現有工作流程中轉為拉取請求。

開始使用

  1. 前往 chatgpt.com/codex/security。

  2. 連接並啟用你希望 Codex Security 掃描的 GitHub 程式碼庫。

  3. 等待首次掃描完成。Codex Security 會先為專案建立威脅模型,並掃描程式碼庫歷史記錄以找出現有漏洞。大型專案可能需要較長時間;新程式碼的掃描則較快。

  4. 檢視發現、驗證詳情及建議修補程式。

基於角色的存取控制 (RBAC)

對於 Enterprise 及 Edu 工作區,管理員可在工作區權限中管理 Codex Security 存取權。Codex Security 要求工作區同時啟用 Codex Cloud 與 Codex Security 存取權。亦可透過 RBAC(包括經 SCIM 同步的群組)將存取權限限制為特定角色或群組。

如要更新你的工作區權限:

  1. 在 ChatGPT 中,按一下你的個人資料圖示,然後選擇「工作區設定」->「權限」,前往工作區權限頁面。

  2. 向下捲動至 Codex Cloud

  3. 請確保已啟用 Codex Cloud 存取權。

  4. 切換 Allow members to use Codex Security. 以啟用或停用存取權。

進一步了解你在 ChatGPT 工作區中的基於角色存取控制。

最佳做法

  • 先從少量程式碼庫及專責審核人員群組開始。我們建議初期採取聚焦式推出,特別是在導入及漏洞分享仍較依賴人手處理時。

  • 隨著了解加深,持續完善威脅模型。對模型作出小幅更新,可改善脈絡,並令發現隨時間變得更精確。

  • 如果你現時未有使用 GitHub Cloud,可考慮先以較低風險或非生產用程式碼庫進行評估。這有助團隊在更廣泛採用前,先建立對工作流程的信心。

  • 請按你慣常的審核流程審查已產生的修補 PR。我們亦建議在 Codex Security PR 上使用 Codex Code Review,以免修補引入回歸問題。

常見問題

Codex Security 會自動更改我的程式碼嗎?

不會。Codex Security 會提出修補程式供人工審核。該建議可轉為拉取請求,但不會自動修改你的程式碼。

Codex Security 依賴模糊測試或基於特徵碼的掃描嗎?

不會。Codex Security 使用語言模型推理、測試時計算、工具使用及大型上下文,而非模糊測試或基於特徵碼的掃描。

我可以檢視或編輯威脅模型嗎?

可以。威脅模型可見且可編輯,讓團隊能檢視 Codex Security 如何理解應用程式,並更新假設以符合其環境。

驗證是甚麼意思?

驗證是 Codex Security 在顯示潛在漏洞前,先嘗試在隔離環境中重現該漏洞的步驟。此舉旨在減少誤報,並保持發現具高訊號價值。

發現通過驗證後會怎樣?

完成驗證後,Codex Security 會提出針對根本原因的修補程式,並可轉為拉取請求以供審核。

這篇文章對你有幫助嗎?