本文为非官方中文翻译,内容以 OpenAI 官方英文文档为准。
官方来源:https://developers.openai.com/codex/security
Codex Security
使用 Codex 查找、验证并修复安全问题
Codex Security 帮助工程和安全团队在已连接的 GitHub 仓库中查找、验证并修复可能的漏洞。
本页介绍 Codex Security,即扫描已连接 GitHub 仓库中可能安全问题的产品。关于 Codex 沙箱、审批、网络控制和管理员设置,请参阅代理审批与安全。
它帮助团队:
- 查找可能的漏洞,方法是使用针对仓库的威胁模型和真实代码上下文。
- 减少噪音,在你审查发现项之前先对其进行验证。
- 推动发现项走向修复,提供排序后的结果、证据和建议的补丁选项。
工作原理
Codex Security 逐个提交地扫描已连接的仓库。
它从你的仓库构建扫描上下文,根据该上下文检查可能的漏洞,并在将高信号问题呈现出来之前,先在隔离环境中对其进行验证。
你将获得一个重点关注以下内容的工作流:
- 针对仓库的上下文,而不是通用特征签名
- 有助于减少误报的验证证据
- 可在 GitHub 中审查的建议修复方案
访问权限和前提条件
Codex Security 通过 Codex Web 与已连接的 GitHub 仓库配合使用。OpenAI 管理访问权限。如果你需要访问权限,或者某个仓库不可见,请联系你的 OpenAI 客户团队,并确认该仓库可通过你的 Codex Web 工作区访问。
相关文档
- Codex Security 设置介绍了设置、扫描和发现项审查。
- FAQ介绍了常见产品问题。
- 改进威胁模型解释了如何调整范围、攻击面和关键性假设。