跳到主要内容

本文为非官方中文翻译,内容以 OpenAI 官方英文文档为准。
官方来源:https://developers.openai.com/codex/security/threat-model

改进威胁模型

优化 Codex Security 用于发现结果排序并帮助你更快审查的上下文

了解什么是威胁模型,以及编辑它如何改进 Codex Security 的建议。

什么是威胁模型

威胁模型是对你的代码仓库如何工作的一个简短安全摘要。在 Codex Security 中,你以 project overview 的形式编辑它,系统会将其作为后续扫描、优先级排序和审查的扫描上下文。

Codex Security 会根据代码创建第一版草稿。如果发现结果看起来不太对,这就是首先应该编辑的内容。

一个有用的威胁模型会指出:

  • 入口点和不受信任的输入
  • 信任边界和身份验证假设
  • 敏感数据路径或特权操作
  • 你的团队希望优先审查的区域

例如:

用于账户变更的公共 API。接收 JSON 请求和文件上传。使用内部身份验证服务进行身份检查,并通过内部服务写入账单变更。将审查重点放在身份验证检查、上传解析以及服务到服务的信任边界上。

这会为 Codex Security 的后续扫描和发现结果优先级排序提供更好的起点。

改进并重新审视威胁模型

如果你想改进结果,先编辑威胁模型。当发现结果遗漏了你关心的区域,或出现在你意料之外的位置时,就使用它。威胁模型会改变后续扫描的上下文。

一些用户会将当前的威胁模型复制到 Codex 中,通过对话根据他们希望更仔细审查的区域来改进它,然后将更新后的版本粘贴回 Web UI。

在哪里编辑

要查看或更新威胁模型,请前往 Codex Security scans,打开代码仓库,然后点击 Edit