OpenAI
Esta página foi traduzida automaticamente. Veja o artigo original em inglês.

Segurança do Codex

Atualizado: 13 days ago

O Codex Security é uma prévia de pesquisa que ajuda equipes a identificar, validar e remediar vulnerabilidades em código. Ele foi projetado para funcionar mais como um pesquisador de segurança do que como um scanner tradicional: lê código, executa testes, explora caminhos de ataque realistas e propõe patches que as equipes podem revisar em seu fluxo de trabalho normal.

Visão geral

Hoje, o Codex Security se conecta diretamente a repositórios do GitHub. Depois que você habilita um repositório, ele cria um modelo de ameaças específico para a base de código, examina o histórico do repositório, valida vulnerabilidades em potencial em um ambiente isolado e apresenta correções propostas para revisão humana.

O Codex Security é estruturado em torno de três etapas: identificação, validação e remediação. Durante a identificação, ele analisa o repositório e explora caminhos de ataque realistas. Durante a validação, ele tenta reproduzir cada problema para confirmar que é real. Durante a remediação, ele gera um patch concreto que as equipes podem revisar e transformar em uma pull request.

Como o Codex Security funciona

Quando o Codex Security se conecta a um repositório, ele examina commits em ordem cronológica reversa e cria um modelo de ameaças específico para a base de código. Esse modelo captura pontos de entrada para invasores, limites de confiança, dados sensíveis e caminhos de código de alto impacto, que o Codex usa para concentrar a análise em cenários de ataque realistas. As equipes podem inspecionar e editar o modelo de ameaças para que ele reflita suas suposições reais de implantação.

O Codex Security segue um fluxo de remediação em circuito fechado:

  1. Examinar o repositório: o Codex se conecta ao seu repositório do GitHub, analisa a base de código e cria um modelo de ameaças a partir do repositório e do histórico de commits.

  2. Descobrir vulnerabilidades: usando esse modelo de ameaças, o Codex explora caminhos de código realistas e identifica vulnerabilidades em potencial.

  3. Validar em um sandbox: o Codex executa um validador automatizado em um ambiente isolado para reproduzir o problema, capturar detalhes da execução e confirmar a explorabilidade antes de apresentar o achado.

  4. Gerar um patch: para vulnerabilidades validadas, o Codex produz uma sugestão de patch mínima que aborda a causa raiz.

  5. Revisão humana e pull request: o patch não modifica automaticamente seu código. Ele é apresentado para revisão humana e pode ser transformado em uma pull request no seu fluxo de trabalho normal.

  6. Revalidar após a remediação: depois que um problema confirmado é corrigido e mesclado, o Codex pode revalidar a correção, fechando o ciclo da detecção à remediação.

Para cada achado, o Codex Security pode produzir uma análise do caminho de ataque que mostra como uma entrada controlada por invasor poderia se mover de um ponto de entrada até um resultado sensível. Ele pontua esse caminho por probabilidade e impacto e torna visíveis as suposições subjacentes, o que ajuda as equipes a priorizar riscos realistas em vez de alertas isolados.

Antes de apresentar um achado, o Codex Security tenta reproduzi-lo em um ambiente isolado. O validador registra resultados de reprodução, detalhes de execução e artefatos de prova de conceito para que as equipes possam se concentrar em achados que realmente foram demonstrados como funcionais.

Para achados validados, o Codex Security propõe um patch mínimo que aborda a causa raiz. Ele não modifica automaticamente seu código. Em vez disso, o patch é apresentado para revisão humana e pode ser transformado em uma pull request no seu fluxo de trabalho existente.

Primeiros passos

  1. Acesse chatgpt.com/codex/security.

  2. Conecte e habilite os repositórios do GitHub que você deseja que o Codex Security examine.

  3. Aguarde a conclusão da verificação inicial. O Codex Security primeiro cria um modelo de ameaças para o projeto e examina o histórico do repositório em busca de vulnerabilidades existentes. Isso pode levar mais tempo em projetos grandes. As verificações de código novo são mais rápidas.

  4. Revise os achados, os detalhes de validação e os patches propostos.

Controles de acesso baseados em função (RBAC)

Para workspaces Enterprise e Edu, administradores podem gerenciar o acesso ao Codex Security nas permissões do workspace. O Codex Security exige que o acesso ao Codex Cloud e ao Codex Security esteja habilitado para o workspace. O acesso também pode ser limitado a funções ou grupos específicos por meio de RBAC, incluindo grupos sincronizados por SCIM.

Para atualizar as permissões do seu workspace:

  1. No ChatGPT, clique no ícone do seu perfil e selecione Configurações do workspace -> Permissões para ir à página de permissões do workspace.

  2. Role para baixo até Codex Cloud.

  3. Certifique-se de que o acesso ao Codex Cloud esteja habilitado.

  4. Habilite ou desabilite o acesso alternando Permitir que membros usem o Codex Security.

Saiba mais sobre controles de acesso baseados em função no seu workspace do ChatGPT.

Boas práticas

  • Comece com um pequeno conjunto de repositórios e um grupo dedicado de revisores. Recomendamos uma implementação inicial focada, especialmente enquanto a integração e o compartilhamento de vulnerabilidades ainda são relativamente manuais.

  • Refine o modelo de ameaças à medida que você aprende. Pequenas atualizações no modelo podem melhorar o contexto e tornar os achados mais precisos ao longo do tempo.

  • Se você não usa o GitHub Cloud hoje, considere começar com repositórios de menor risco ou que não sejam de produção para avaliação. Isso pode ajudar as equipes a ganhar confiança no fluxo de trabalho antes de uma adoção mais ampla.

  • Revise as PRs de patch geradas com seu processo normal de revisão. Também recomendamos usar o Codex Code Review nas PRs do Codex Security para que a remediação não introduza regressões.

Perguntas frequentes

O Codex Security altera meu código automaticamente?

Não. O Codex Security propõe um patch para revisão humana. Essa proposta pode ser transformada em uma pull request, mas não modifica automaticamente seu código.

O Codex Security depende de fuzzing ou de varredura baseada em assinaturas?

Não. O Codex Security usa raciocínio de modelo de linguagem, computação em tempo de teste, uso de ferramentas e contexto amplo, em vez de fuzzing ou varredura baseada em assinaturas.

Posso inspecionar ou editar o modelo de ameaças?

Sim. O modelo de ameaças é visível e editável, para que as equipes possam inspecionar como o Codex Security entende a aplicação e atualizar as suposições para corresponder ao ambiente delas.

O que significa validação?

Validação é a etapa em que o Codex Security tenta reproduzir uma vulnerabilidade em potencial em um ambiente isolado antes de apresentá-la. Isso serve para reduzir falsos positivos e manter os achados com alta relevância.

O que acontece depois que um achado é validado?

Após a validação, o Codex Security propõe um patch que aborda a causa raiz e pode ser transformado em uma pull request para revisão.

Este artigo foi útil?