OpenAI
Esta página se tradujo automáticamente. Ver el artículo original en inglés.

Seguridad de Codex

Actualización: 12 days ago

Codex Security es una vista previa de investigación que ayuda a los equipos a identificar, validar y corregir vulnerabilidades en el código. Está diseñado para funcionar más como un investigador de seguridad que como un escáner tradicional: lee código, ejecuta pruebas, explora rutas de ataque realistas y propone parches que los equipos pueden revisar en su flujo de trabajo habitual.

Descripción general

Actualmente, Codex Security se conecta directamente a repositorios de GitHub. Después de habilitar un repositorio, crea un modelo de amenazas específico de la base de código, analiza el historial del repositorio, valida posibles vulnerabilidades en un entorno aislado y muestra correcciones propuestas para revisión humana.

Codex Security se basa en tres etapas: identificación, validación y corrección. Durante la identificación, analiza el repositorio y explora rutas de ataque realistas. Durante la validación, intenta reproducir cada problema para confirmar que es real. Durante la corrección, genera un parche concreto que los equipos pueden revisar y convertir en una pull request.

Cómo funciona Codex Security

Cuando Codex Security se conecta a un repositorio, analiza las confirmaciones en orden cronológico inverso y crea un modelo de amenazas específico de la base de código. Ese modelo recoge los puntos de entrada del atacante, los límites de confianza, los datos sensibles y las rutas de código de alto impacto, que Codex usa para centrar el análisis en escenarios de ataque realistas. Los equipos pueden inspeccionar y editar el modelo de amenazas para que refleje sus supuestos reales de despliegue.

Codex Security sigue un flujo de corrección de ciclo cerrado:

  1. Analizar el repositorio: Codex se conecta a tu repositorio de GitHub, analiza la base de código y crea un modelo de amenazas a partir del repositorio y del historial de confirmaciones.

  2. Detectar vulnerabilidades: Con ese modelo de amenazas, Codex explora rutas de código realistas e identifica posibles vulnerabilidades.

  3. Validar en un entorno aislado: Codex ejecuta un validador automatizado en un entorno aislado para reproducir el problema, capturar detalles de ejecución y confirmar que puede explotarse antes de mostrar el hallazgo.

  4. Generar un parche: Para las vulnerabilidades validadas, Codex produce una sugerencia de parche mínima que aborda la causa raíz.

  5. Revisión humana y pull request: El parche no modifica automáticamente tu código. Se muestra para revisión humana y puede convertirse en una pull request dentro de tu flujo de trabajo habitual.

  6. Volver a validar tras la corrección: Después de corregir y fusionar un problema confirmado, Codex puede volver a validar la corrección, cerrando el ciclo desde la detección hasta la corrección.

Para cada hallazgo, Codex Security puede generar un análisis de la ruta de ataque que muestra cómo una entrada controlada por un atacante podría desplazarse desde un punto de entrada hasta un resultado sensible. Puntúa esa ruta según su probabilidad e impacto y hace visibles los supuestos subyacentes, lo que ayuda a los equipos a priorizar riesgos realistas frente a alertas aisladas.

Antes de mostrar un hallazgo, Codex Security intenta reproducirlo en un entorno aislado. El validador registra los resultados de reproducción, los detalles de ejecución y los artefactos de prueba de concepto para que los equipos puedan centrarse en hallazgos que realmente han demostrado funcionar.

Para los hallazgos validados, Codex Security propone un parche mínimo que aborda la causa raíz. No modifica automáticamente tu código. En su lugar, el parche se muestra para revisión humana y puede convertirse en una pull request dentro de tu flujo de trabajo actual.

Primeros pasos

  1. Ve a chatgpt.com/codex/security.

  2. Conecta y habilita los repositorios de GitHub que quieras que Codex Security analice.

  3. Espera a que finalice el análisis inicial. Codex Security primero crea un modelo de amenazas para el proyecto y analiza el historial del repositorio en busca de vulnerabilidades existentes. Esto puede tardar más en proyectos grandes. Los análisis del código nuevo son más rápidos.

  4. Revisa los hallazgos, los detalles de validación y los parches propuestos.

Controles de acceso basados en roles (RBAC)

En las Áreas de trabajo Enterprise y Edu, los administradores pueden gestionar el acceso a Codex Security en los permisos del área de trabajo. Codex Security requiere que tanto el acceso a Codex Cloud como el acceso a Codex Security estén habilitados para el área de trabajo. El acceso también puede limitarse a roles o grupos específicos mediante RBAC, incluidos los grupos sincronizados con SCIM. Para permitir que los miembros gestionen las configuraciones de análisis de Codex Security, habilita también el permiso de administrador de Codex Security para el rol o grupo correspondiente.

Para actualizar los permisos de tu área de trabajo:

  1. En ChatGPT, haz clic en tu icono de perfil y selecciona Configuración del área de trabajo -> Permisos para ir a la página de permisos del área de trabajo.

  2. Desplázate hasta Codex Cloud.

  3. Asegúrate de que el acceso a Codex Cloud esté habilitado.

  4. Habilita o deshabilita el acceso activando o desactivando Permitir que los miembros usen Codex Security.

  5. Si el rol o grupo debe gestionar configuraciones de análisis, habilita también Permitir que los miembros administren Codex Security.

Más información sobre los controles de acceso basados en roles en tu área de trabajo de ChatGPT.

Prácticas recomendadas

  • Empieza con un conjunto pequeño de repositorios y un grupo dedicado de revisores. Recomendamos una implantación inicial enfocada, especialmente mientras la incorporación y el intercambio de vulnerabilidades siguen siendo relativamente manuales.

  • Perfecciona el modelo de amenazas a medida que aprendes. Pequeñas actualizaciones del modelo pueden mejorar el contexto y hacer que los hallazgos sean más precisos con el tiempo.

  • Si actualmente no usas GitHub Cloud, considera empezar con repositorios de menor riesgo o que no sean de producción para la evaluación. Eso puede ayudar a los equipos a ganar confianza en el flujo de trabajo antes de una adopción más amplia.

  • Revisa las PR de parches generados con tu proceso de revisión habitual. También recomendamos usar Codex Code Review en las PR de Codex Security para que la corrección no introduzca regresiones.

Preguntas frecuentes

¿Codex Security cambia automáticamente mi código?

No. Codex Security propone un parche para revisión humana. Esa propuesta puede convertirse en una pull request, pero no modifica automáticamente tu código.

¿Codex Security se basa en fuzzing o en análisis basados en firmas?

No. Codex Security utiliza razonamiento de modelos de lenguaje, cómputo en tiempo de prueba, uso de herramientas y un contexto amplio, en lugar de fuzzing o análisis basados en firmas.

¿Puedo inspeccionar o editar el modelo de amenazas?

Sí. El modelo de amenazas es visible y editable, por lo que los equipos pueden inspeccionar cómo Codex Security interpreta la aplicación y actualizar los supuestos para ajustarlos a su entorno.

¿Qué significa validación?

La validación es la etapa en la que Codex Security intenta reproducir una posible vulnerabilidad en un entorno aislado antes de mostrarla. Su objetivo es reducir los falsos positivos y mantener hallazgos de alta relevancia.

¿Qué ocurre después de que se valida un hallazgo?

Después de la validación, Codex Security propone un parche que aborda la causa raíz y puede convertirse en una pull request para revisión.

¿Te ha resultado útil este artículo?