OpenAI
此頁面由機器翻譯。查看原文英文文章

Codex 安全性

更新日期:16 days ago

Codex Security 是一項研究預覽功能,供 ChatGPT Enterprise、Edu、Business 及 Pro 用戶使用。它協助團隊識別、驗證和修復程式碼中的漏洞。其設計更像安全研究員,而非傳統掃描器:它會讀取程式碼、執行測試、探索真實可行的攻擊路徑,並提出團隊可在正常工作流程中審查的修補程式。

概覽

目前,Codex Security 會直接連接至 GitHub 程式碼庫。啟用程式碼庫後,它會建立特定於程式碼庫的威脅模型、掃描程式碼庫歷史、在隔離環境中驗證潛在漏洞,並顯示建議修復供人手審查。

Codex Security 圍繞三個階段構建:識別、驗證和修復。在識別期間,它會分析程式碼庫並探索真實可行的攻擊路徑。在驗證期間,它會嘗試重現每個問題,以確認問題屬實。在修復期間,它會產生具體修補程式,團隊可審查並提升為拉取請求。

Codex Security 的運作方式

當 Codex Security 連接至程式碼庫時,它會按時間倒序掃描提交,並建立特定於程式碼庫的威脅模型。該模型會捕捉攻擊者入口點、信任邊界、敏感資料和高影響程式碼路徑,Codex 會據此將分析集中於真實可行的攻擊情境。團隊可檢查和編輯威脅模型,使其反映實際部署假設。

Codex Security 遵循閉環修復工作流程:

  1. 掃描程式碼庫:Codex 會連接至你的 GitHub 程式碼庫、分析程式碼庫,並根據程式碼庫和提交歷史建立威脅模型。

  2. 發現漏洞:Codex 會利用該威脅模型探索真實可行的程式碼路徑,並識別潛在漏洞。

  3. 在沙箱中驗證:Codex 會在隔離環境中執行自動驗證器,以重現問題、擷取執行詳情,並在顯示發現項目前確認其可被利用。

  4. 產生修補程式:對於已驗證漏洞,Codex 會產生處理根本原因的最小修補建議。

  5. 人手審查和拉取請求:修補程式不會自動修改你的程式碼。它會顯示供人手審查,並可轉換成拉取請求以配合你的正常工作流程。

  6. 修復後重新驗證:已確認的問題修補並合併後,Codex 可重新驗證修復,完成從偵測到修復的閉環。

對於每個發現項目,Codex Security 可產生攻擊路徑分析,顯示攻擊者控制的輸入如何由入口點移動至敏感結果。它會按可能性和影響為該路徑評分,並顯示背後假設,協助團隊優先處理真實風險,而非孤立警示。

在顯示發現項目前,Codex Security 會嘗試在隔離環境中重現該問題。驗證器會記錄重現結果、執行詳情和概念驗證成品,讓團隊可專注於已實際證明可行的發現項目。

對於已驗證的發現項目,Codex Security 會提出處理根本原因的最小修補程式。它不會自動修改你的程式碼。相反,修補程式會顯示供人手審查,並可在你現有的工作流程中轉換成拉取請求。

開始使用

  1. 前往 Codex Security

  2. 連接並啟用你希望 Codex Security 掃描的 GitHub 程式碼庫。

  3. 等待初始掃描完成。Codex Security 會先為專案建立威脅模型,並掃描程式碼庫歷史以找出現有漏洞。大型專案可能需時較長。新程式碼的掃描會較快。

  4. 審查發現項目、驗證詳情和建議修補程式。

角色型存取控制(RBAC)

對於 Enterprise 和 Edu 工作區,管理員可在工作區權限中管理 Codex Security 存取權。Codex Security 需要為工作區同時啟用 Codex Cloud 和 Codex Security 存取權。亦可透過 RBAC 將存取權限制於特定角色或群組,包括 SCIM 同步的群組。如要讓成員管理 Codex Security 掃描配置,亦請為相應角色或群組啟用 Codex Security 管理員權限。

如要更新你的工作區權限:

  1. 在 ChatGPT 中,選擇你的個人檔案圖示,然後選擇 Workspace Settings > Permissions 以開啟工作區權限

  2. 向下捲動至 Codex Cloud

  3. 確保已啟用 Codex Cloud 存取權。

  4. 切換 Allow members to use Codex Security. 以啟用或停用存取權。

  5. 如果該角色或群組應管理掃描配置,亦請啟用 Allow members to administer Codex Security.

進一步了解 ChatGPT 工作區中的角色型存取控制

最佳實踐

  • 先從少量程式碼庫和專責審查員群組開始。我們建議初期採用聚焦式推出,尤其是在上線導入和漏洞分享仍相對依賴人手操作期間。

  • 隨着學習逐步完善威脅模型。對模型作出小幅更新,可改善上下文,並讓發現項目隨時間更精準。

  • 如果你目前未使用 GitHub Cloud,可考慮先以較低風險或非生產程式碼庫作評估。這可協助團隊在更廣泛採用前,建立對工作流程的信心。

  • 使用你的一般審查流程,審查產生的修補程式 PR。我們亦建議在 Codex Security PR 上使用 Codex Code Review,確保修復不會引入回歸問題。

常見問題

Codex Security 會自動更改我的程式碼嗎?

不會。Codex Security 會提出修補程式供人手審查。該建議可轉換成拉取請求,但不會自動修改你的程式碼。

Codex Security 是否依賴模糊測試或基於簽章的掃描?

不是。Codex Security 使用語言模型推理、測試時間計算、工具使用和大型上下文,而不是模糊測試或基於簽章的掃描。

我可以檢查或編輯威脅模型嗎?

可以。威脅模型可供查看和編輯,因此團隊可以檢查 Codex Security 如何理解應用程式,並更新假設以配合其環境。

驗證是甚麼意思?

驗證是 Codex Security 在顯示潛在漏洞前,先嘗試在隔離環境中重現該漏洞的步驟。這旨在減少誤報,並確保發現項目具高價值訊號。

發現項目經驗證後會怎樣?

驗證後,Codex Security 會提出修補程式,以處理根本原因,並可轉換成拉取請求供審查。

這篇文章對你有幫助嗎?