OpenAI
Deze pagina is automatisch vertaald. Bekijk het oorspronkelijke Engelstalige artikel.

Codex-beveiliging

Bijgewerkt: 5 days ago

Codex Security is een onderzoeks-preview die beschikbaar is voor gebruikers van ChatGPT Enterprise, Edu, Business en Pro. Het helpt teams kwetsbaarheden in code te identificeren, valideren en verhelpen. Het is ontworpen om meer als een beveiligingsonderzoeker te werken dan als een traditionele scanner: het leest code, voert tests uit, verkent realistische aanvalspaden en stelt patches voor die teams in hun normale workflow kunnen beoordelen.

Overzicht

Op dit moment maakt Codex Security rechtstreeks verbinding met GitHub-repositories. Nadat je een repository hebt ingeschakeld, bouwt het een codebase-specifiek dreigingsmodel, scant het de repositorygeschiedenis, valideert het mogelijke kwetsbaarheden in een geïsoleerde omgeving en toont het voorgestelde oplossingen voor menselijke review.

Codex Security is opgebouwd rond drie fasen: identificatie, validatie en herstel. Tijdens de identificatie analyseert het de repository en verkent het realistische aanvalspaden. Tijdens de validatie probeert het elk probleem te reproduceren om te bevestigen dat het echt is. Tijdens het herstel genereert het een concrete patch die teams kunnen beoordelen en kunnen omzetten in een pull request.

Hoe Codex Security werkt

Wanneer Codex Security verbinding maakt met een repository, scant het commits in omgekeerd chronologische volgorde en bouwt het een codebase-specifiek dreigingsmodel. Dat model legt toegangspunten voor aanvallers, vertrouwensgrenzen, gevoelige gegevens en codepaden met grote impact vast, die Codex gebruikt om de analyse te richten op realistische aanvalsscenario's. Teams kunnen het dreigingsmodel bekijken en bewerken, zodat het hun werkelijke implementatieaannames weerspiegelt.

Codex Security volgt een closed-loop-workflow voor herstel:

  1. Scan de repository: Codex maakt verbinding met je GitHub-repository, analyseert de codebase en bouwt een dreigingsmodel op basis van de repository en commitgeschiedenis.

  2. Ontdek kwetsbaarheden: Met dat dreigingsmodel verkent Codex realistische codepaden en identificeert het mogelijke kwetsbaarheden.

  3. Valideer in een sandbox: Codex voert een geautomatiseerde validator uit in een geïsoleerde omgeving om het probleem te reproduceren, uitvoeringsdetails vast te leggen en de exploiteerbaarheid te bevestigen voordat de bevinding wordt getoond.

  4. Genereer een patch: Voor gevalideerde kwetsbaarheden produceert Codex een minimaal patchvoorstel dat de hoofdoorzaak aanpakt.

  5. Menselijke review en pull request: De patch wijzigt je code niet automatisch. Deze wordt getoond voor menselijke review en kan worden omgezet in een pull request voor je normale workflow.

  6. Opnieuw valideren na herstel: Nadat een bevestigd probleem is gepatcht en gemerged, kan Codex de oplossing opnieuw valideren en zo de loop van detectie tot herstel sluiten.

Voor elke bevinding kan Codex Security een analyse van het aanvalspad produceren die laat zien hoe door een aanvaller gecontroleerde invoer van een toegangspunt naar een gevoelige uitkomst kan bewegen. Het scoort dat pad op waarschijnlijkheid en impact en maakt de onderliggende aannames zichtbaar, wat teams helpt realistische risico's prioriteit te geven boven geïsoleerde waarschuwingen.

Voordat Codex Security een bevinding toont, probeert het deze in een geïsoleerde omgeving te reproduceren. De validator registreert reproductieresultaten, uitvoeringsdetails en proof-of-concept-artefacten, zodat teams zich kunnen richten op bevindingen waarvan daadwerkelijk is aangetoond dat ze werken.

Voor gevalideerde bevindingen stelt Codex Security een minimale patch voor die de hoofdoorzaak aanpakt. Het wijzigt je code niet automatisch. In plaats daarvan wordt de patch getoond voor menselijke review en kan deze in je bestaande workflow worden omgezet in een pull request.

Aan de slag

  1. Ga naar Codex Security.

  2. Koppel de GitHub-repositories die je door Codex Security wilt laten scannen en schakel ze in.

  3. Wacht tot de eerste scan is voltooid. Codex Security bouwt eerst een dreigingsmodel voor het project en scant de repositorygeschiedenis op bestaande kwetsbaarheden. Voor grote projecten kan dit langer duren. Scans van nieuwe code zijn sneller.

  4. Bekijk bevindingen, validatiedetails en voorgestelde patches.

Rolgebaseerd toegangsbeheer (RBAC)

Voor Enterprise- en Edu-werkruimten kunnen beheerders de toegang tot Codex Security beheren in de werkruimtemachtigingen. Voor Codex Security moeten zowel toegang tot Codex Cloud als toegang tot Codex Security zijn ingeschakeld voor de werkruimte. Toegang kan ook via RBAC worden beperkt tot specifieke rollen of groepen, waaronder met SCIM gesynchroniseerde groepen. Als je leden Codex Security-scanconfiguraties wilt laten beheren, schakel dan ook de beheerdersmachtiging voor Codex Security in voor de juiste rol of groep.

De machtigingen van je werkruimte bijwerken:

  1. Selecteer in ChatGPT je profielpictogram en vervolgens Werkruimte-instellingen > Machtigingen om werkruimtemachtigingen te openen.

  2. Scrol omlaag naar Codex Cloud.

  3. Zorg dat toegang tot Codex Cloud is ingeschakeld.

  4. Schakel toegang in of uit met de wisselknop Leden toestaan Codex Security te gebruiken.

  5. Als de rol of groep scanconfiguraties moet beheren, schakel dan ook Leden toestaan Codex Security te beheren. in.

Meer informatie over rolgebaseerd toegangsbeheer in je ChatGPT-werkruimte.

Best practices

  • Begin met een kleine set repositories en een toegewijde groep reviewers. We raden aan om in het begin gericht uit te rollen, vooral zolang onboarding en het delen van kwetsbaarheden nog relatief handmatig zijn.

  • Verfijn het dreigingsmodel naarmate je leert. Kleine updates aan het model kunnen de context verbeteren en bevindingen na verloop van tijd nauwkeuriger maken.

  • Als je momenteel geen GitHub Cloud gebruikt, overweeg dan te beginnen met repositories met een lager risico of buiten productie voor evaluatie. Dat kan teams helpen vertrouwen op te bouwen in de workflow voordat ze deze breder invoeren.

  • Review gegenereerde patch-PR's met je normale reviewproces. We raden ook aan Codex Code Review te gebruiken voor Codex Security-PR's, zodat herstel geen regressies introduceert.

Veelgestelde vragen

Wijzigt Codex Security automatisch mijn code?

Nee. Codex Security stelt een patch voor ter menselijke review. Dat voorstel kan worden omgezet in een pull request, maar je code wordt niet automatisch aangepast.

Vertrouwt Codex Security op fuzzing of op handtekeningen gebaseerde scanning?

Nee. Codex Security gebruikt redenering door taalmodellen, test-time compute, toolgebruik en een grote context, in plaats van fuzzing of op handtekeningen gebaseerde scanning.

Kan ik het dreigingsmodel bekijken of bewerken?

Ja. Het dreigingsmodel is zichtbaar en bewerkbaar, zodat teams kunnen bekijken hoe Codex Security de toepassing begrijpt en aannames kunnen bijwerken zodat ze aansluiten bij hun omgeving.

Wat betekent validatie?

Validatie is de stap waarin Codex Security probeert een mogelijke kwetsbaarheid in een geïsoleerde omgeving te reproduceren voordat deze wordt getoond. Dit is bedoeld om fout-positieven te verminderen en bevindingen relevant te houden.

Wat gebeurt er nadat een bevinding is gevalideerd?

Na validatie stelt Codex Security een patch voor die de hoofdoorzaak aanpakt en kan worden omgezet in een pull request voor review.

Was dit artikel nuttig?