OpenAI
Cette page a été traduite automatiquement. Afficher l’article original en anglais.

Sécurité Codex

Dernière mise à jour : 13 days ago

Codex Security est un aperçu de recherche qui aide les équipes à identifier, valider et corriger les vulnérabilités dans le code. Il est conçu pour fonctionner davantage comme un chercheur en sécurité qu’un scanner traditionnel
: il lit le code, exécute des tests, explore des chemins d’attaque réalistes et propose des correctifs que les équipes peuvent examiner dans leur flux de travail habituel.

Vue d’ensemble

Aujourd’hui, Codex Security se connecte directement aux dépôts GitHub. Après avoir activé un dépôt, il élabore un modèle de menace spécifique à la base de code, analyse l’historique du dépôt, valide les vulnérabilités potentielles dans un environnement isolé et présente des correctifs proposés pour examen humain.

Codex Security s’articule autour de trois étapes
: identification, validation et correction. Lors de l’identification, il analyse le dépôt et explore des chemins d’attaque réalistes. Lors de la validation, il tente de reproduire chaque problème pour confirmer qu’il est réel. Lors de la correction, il génère un correctif concret que les équipes peuvent examiner et convertir en pull request.

Fonctionnement de Codex Security

Lorsque Codex Security se connecte à un dépôt, il analyse les commits par ordre chronologique inverse et construit un modèle de menace propre à la base de code. Ce modèle capture les points d’entrée des attaquants, les frontières de confiance, les données sensibles et les chemins de code à fort impact, que Codex utilise pour concentrer l’analyse sur des scénarios d’attaque réalistes. Les équipes peuvent inspecter et modifier le modèle de menace afin qu’il reflète leurs hypothèses de déploiement réelles.

Codex Security suit un flux de correction en boucle fermée
:

  1. Analyser le dépôt
    : Codex se connecte à votre dépôt GitHub, analyse la base de code et construit un modèle de menace à partir du dépôt et de l’historique des commits.

  2. Découvrir les vulnérabilités
    : À l’aide de ce modèle de menace, Codex explore des chemins de code réalistes et identifie des vulnérabilités potentielles.

  3. Valider dans un bac à sable
    : Codex exécute un validateur automatisé dans un environnement isolé pour reproduire le problème, capturer les détails d’exécution et confirmer l’exploitabilité avant de présenter le résultat.

  4. Générer un correctif
    : Pour les vulnérabilités validées, Codex produit une suggestion de correctif minimale qui traite la cause racine.

  5. Examen humain et pull request
    : Le correctif ne modifie pas automatiquement votre code. Il est présenté pour examen humain et peut être transformé en pull request dans votre flux de travail habituel.

  6. Revalider après correction
    : Une fois qu’un problème confirmé est corrigé et fusionné, Codex peut revalider le correctif, bouclant ainsi le processus de la détection à la correction.

Pour chaque résultat, Codex Security peut produire une analyse du chemin d’attaque montrant comment une entrée contrôlée par un attaquant pourrait passer d’un point d’entrée à un résultat sensible. Il évalue ce chemin selon sa probabilité et son impact et rend visibles les hypothèses sous-jacentes, ce qui aide les équipes à prioriser les risques réalistes plutôt que des alertes isolées.

Avant de présenter un résultat, Codex Security tente de le reproduire dans un environnement isolé. Le validateur enregistre les résultats de reproduction, les détails d’exécution et les artefacts de preuve de concept afin que les équipes puissent se concentrer sur les résultats dont le fonctionnement a réellement été démontré.

Pour les résultats validés, Codex Security propose un correctif minimal qui traite la cause racine. Il ne modifie pas automatiquement votre code. À la place, le correctif est présenté pour examen humain et peut être transformé en pull request dans votre flux de travail existant.

Premiers pas

  1. Accédez à chatgpt.com/codex/security.

  2. Connectez et activez les dépôts GitHub que vous souhaitez faire analyser par Codex Security.

  3. Attendez la fin de l’analyse initiale. Codex Security commence par construire un modèle de menace pour le projet et analyse l’historique du dépôt afin de détecter les vulnérabilités existantes. Cela peut prendre plus de temps pour les grands projets. Les analyses du nouveau code sont plus rapides.

  4. Examinez les résultats, les détails de validation et les correctifs proposés.

Contrôles d’accès basés sur les rôles (RBAC)

Pour les espaces de travail Enterprise et Edu, les administrateurs peuvent gérer l’accès à Codex Security dans les autorisations de l’espace de travail. Codex Security nécessite que l’accès à Codex Cloud et à Codex Security soit activé pour l’espace de travail. L’accès peut aussi être limité à des rôles ou groupes spécifiques via le RBAC, y compris les groupes synchronisés par SCIM. Pour permettre aux membres de gérer les configurations d’analyse de Codex Security, activez aussi l’autorisation d’administration Codex Security pour le rôle ou groupe approprié.

Pour mettre à jour les autorisations de votre espace de travail
:

  1. Dans ChatGPT, cliquez sur votre icône de profil et sélectionnez Paramètres de l’espace de travail -> Autorisations pour accéder à la page des autorisations de l’espace de travail.

  2. Faites défiler jusqu’à Codex Cloud.

  3. Assurez-vous que l’accès à Codex Cloud est activé.

  4. Activez ou désactivez l’accès en basculant Autoriser les membres à utiliser Codex Security.

  5. Si le rôle ou le groupe doit gérer les configurations d’analyse, activez également Autoriser les membres à administrer Codex Security.

En savoir plus sur les contrôles d’accès basés sur les rôles dans votre espace de travail ChatGPT.

Bonnes pratiques

  • Commencez avec un petit ensemble de dépôts et un groupe dédié de réviseurs. Nous recommandons un déploiement ciblé au départ, surtout pendant l’intégration et tant que le partage des vulnérabilités reste relativement manuel.

  • Affinez le modèle de menace au fur et à mesure de vos apprentissages. De petites mises à jour du modèle peuvent améliorer le contexte et rendre les résultats plus précis au fil du temps.

  • Si vous n’utilisez pas GitHub Cloud aujourd’hui, envisagez de commencer l’évaluation avec des dépôts à faible risque ou hors production. Cela peut aider les équipes à gagner en confiance dans le flux de travail avant une adoption plus large.

  • Examinez les PR de correctifs générées avec votre processus de revue habituel. Nous recommandons également d’utiliser Codex Code Review sur les PR Codex Security afin que la correction n’introduise pas de régressions.

FAQ

Codex Security modifie-t-il automatiquement mon code ?

Non. Codex Security propose un correctif pour examen humain. Cette proposition peut être transformée en pull request, mais elle ne modifie pas automatiquement votre code.

Codex Security s’appuie-t-il sur le fuzzing ou l’analyse basée sur des signatures ?

Non. Codex Security utilise le raisonnement des modèles de langage, des ressources de calcul au moment des tests, l’utilisation d’outils et un contexte large, plutôt que le fuzzing ou l’analyse basée sur des signatures.

Puis-je inspecter ou modifier le modèle de menace ?

Oui. Le modèle de menace est visible et modifiable, afin que les équipes puissent inspecter la façon dont Codex Security comprend l’application et mettre à jour les hypothèses pour qu’elles correspondent à leur environnement.

Que signifie la validation ?

La validation est l’étape où Codex Security essaie de reproduire une vulnérabilité potentielle dans un environnement isolé avant de la présenter. Cela vise à réduire les faux positifs et à garantir des résultats à fort signal.

Que se passe-t-il après la validation d’un résultat ?

Après la validation, Codex Security propose un correctif qui traite la cause racine et peut être transformé en pull request pour examen.

Cet article vous a-t-il été utile ?