OpenAI
此頁面由機器翻譯。查看原始英文文章

Codex 安全性

更新日期:8 days ago

Codex Security 是一項研究預覽,適用於 ChatGPT Enterprise、Edu、Business 和 Pro 使用者。它可協助團隊識別、驗證並修復程式碼中的漏洞。它的設計更像安全研究人員,而非傳統掃描器:它會讀取程式碼、執行測試、探索真實的攻擊路徑,並提出修補程式,讓團隊能在一般工作流程中審查。

概觀

目前,Codex Security 會直接連線至 GitHub 程式碼庫。啟用程式碼庫後,它會建立該程式碼庫專屬的威脅模型、掃描程式碼庫歷史、在隔離環境中驗證潛在漏洞,並顯示建議修正以供人工審查。

Codex Security 圍繞三個階段建構:識別、驗證和修復。在識別期間,它會分析程式碼庫並探索真實的攻擊路徑。在驗證期間,它會嘗試重現每個問題,以確認問題確實存在。在修復期間,它會產生具體的修補程式,讓團隊可審查並提升為拉取要求。

Codex Security 的運作方式

當 Codex Security 連線至程式碼庫時,它會依反向時間順序掃描提交,並建立程式碼庫專屬的威脅模型。該模型會擷取攻擊者進入點、信任邊界、敏感資料和高影響程式碼路徑,Codex 會用這些資訊將分析聚焦於真實的攻擊情境。團隊可以檢查並編輯威脅模型,使其反映實際部署假設。

Codex Security 遵循閉環修復工作流程:

  1. 掃描程式碼庫: Codex 會連線至你的 GitHub 程式碼庫、分析程式碼庫,並根據程式碼庫和提交歷史建立威脅模型。

  2. 探索漏洞: Codex 會使用該威脅模型探索真實的程式碼路徑,並識別潛在漏洞。

  3. 在沙盒中驗證: Codex 會在隔離環境中執行自動驗證器,以重現問題、擷取執行詳細資訊,並在顯示發現項目前確認可利用性。

  4. 產生修補程式: 對於經驗證的漏洞,Codex 會產生最小的修補建議,以解決根本原因。

  5. 人工審查與拉取要求: 修補程式不會自動修改你的程式碼。它會顯示出來供人工審查,並可轉換為拉取要求以用於你的一般工作流程。

  6. 修復後重新驗證: 確認的問題修補並合併後,Codex 可以重新驗證該修正,完成從偵測到修復的閉環。

對於每個發現項目,Codex Security 都能產生攻擊路徑分析,顯示攻擊者控制的輸入如何從進入點移動到敏感結果。它會根據可能性和影響為該路徑評分,並揭示底層假設,協助團隊優先處理真實風險,而非孤立警示。

在顯示發現項目之前,Codex Security 會嘗試在隔離環境中重現該項目。驗證器會記錄重現結果、執行詳細資訊和概念驗證成品,讓團隊能專注於已實際證明可行的發現項目。

對於經驗證的發現項目,Codex Security 會提出解決根本原因的最小修補程式。它不會自動修改你的程式碼。相反地,修補程式會顯示出來供人工審查,並可在你現有的工作流程中轉換為拉取要求。

開始使用

  1. 前往 Codex Security

  2. 連線並啟用你希望 Codex Security 掃描的 GitHub 程式碼庫。

  3. 等待初始掃描完成。Codex Security 會先為專案建立威脅模型,並掃描程式碼庫歷史以找出既有漏洞。大型專案可能需要更長時間。新程式碼的掃描速度較快。

  4. 審查發現項目、驗證詳細資訊和建議的修補程式。

以角色為基礎的存取控制 (RBAC)

對於 Enterprise 和 Edu 工作區,管理員可在工作區權限中管理 Codex Security 存取權。Codex Security 需要同時為工作區啟用 Codex Cloud 和 Codex Security 存取權。也可以透過 RBAC 將存取權限制於特定角色或群組,包括 SCIM 同步群組。若要讓成員管理 Codex Security 掃描設定,也請為適當的角色或群組啟用 Codex Security 管理員權限。

若要更新你的工作區權限:

  1. 在 ChatGPT 中,選取你的個人資料圖示,然後選取 工作區設定 > 權限 以開啟工作區權限

  2. 向下捲動至 Codex Cloud

  3. 確認 Codex Cloud 存取權已啟用。

  4. 切換 允許成員使用 Codex Security。 以啟用或停用存取權。

  5. 如果該角色或群組應管理掃描設定,也請啟用 允許成員管理 Codex Security。

深入瞭解 ChatGPT 工作區中的以角色為基礎的存取控制

最佳做法

  • 先從少量程式碼庫和專門的審查者群組開始。我們建議一開始採取聚焦式導入,尤其是在上線導入和漏洞分享仍相對仰賴手動作業時。

  • 隨著學習逐步完善威脅模型。對模型進行小幅更新,可改善脈絡,並讓發現項目隨時間更精確。

  • 如果你目前未使用 GitHub Cloud,請考慮先從風險較低或非生產環境的程式碼庫開始評估。這可協助團隊在更廣泛採用之前,對工作流程建立信心。

  • 使用你的一般審查流程來審查產生的修補程式 PR。我們也建議對 Codex Security PR 使用 Codex Code Review,避免修復引入迴歸問題。

常見問題

Codex Security 會自動變更我的程式碼嗎?

不會。Codex Security 會提出修補程式以供人工審查。該提案可以轉換為拉取要求,但不會自動修改你的程式碼。

Codex Security 依賴模糊測試或基於特徵碼的掃描嗎?

不會。Codex Security 使用語言模型推理、測試時運算、工具使用和大型脈絡,而非模糊測試或基於特徵碼的掃描。

我可以檢查或編輯威脅模型嗎?

可以。威脅模型可供查看和編輯,因此團隊可以檢查 Codex Security 如何理解應用程式,並更新假設以符合其環境。

驗證是什麼意思?

驗證是 Codex Security 在顯示潛在漏洞之前,嘗試於隔離環境中重現該漏洞的步驟。這旨在減少誤報,並讓發現項目保持高訊號價值。

發現項目經驗證後會發生什麼事?

驗證後,Codex Security 會提出解決根本原因的修補程式,並可轉換為拉取要求以供審查。

這篇文章有幫助嗎?