本文为非官方中文翻译,内容以 OpenAI 官方英文文档为准。
官方来源:https://developers.openai.com/codex/security/setup
Codex Security 设置
设置 Codex Security,等待初始发现结果,并通过编辑威胁模型改进结果
本页将引导你使用 Codex Security,从初始访问一直到查看已审核的发现结果和修复用的拉取请求。
请先确认你已设置好 Codex Cloud。如果尚未设置,请参阅 Codex Cloud 开始使用。
1. 访问与环境
Codex Security 会扫描通过 Codex Cloud 连接的 GitHub 仓库。
- 确认你的工作区有权访问 Codex Security。
- 确认你想要扫描的仓库已在 Codex Cloud 中可用。
前往 Codex environments,检查该仓库是否已有环境。如果没有,请先在那里创建一个环境,然后再继续。
2. 新建安全扫描
环境创建完成后,前往 Create a security scan 并选择你刚刚连接的仓库。
Codex Security 会优先从最新提交开始向后扫描仓库。它会利用这一点在新提交进入时构建并刷新扫描上下文。
要配置一个仓库:
- 选择 GitHub 组织。
- 选择仓库。
- 选择你要扫描的分支。
- 选择环境。
- 选择一个 history window。更长的窗口会提供更多上下文,但回填所需时间也更长。
- 点击 Create。
3. 初始扫描可能需要一些时间
当你创建扫描时,Codex Security 会先在所选历史窗口内对每个提交执行一轮提交级别的安全检查。
初始回填可能需要几个小时,尤其是对于较大的仓库或较长的窗口。
如果没有立即看到发现结果,这是正常现象。在提交工单或进行故障排查之前,请先等待初始扫描完成。
初始扫描设置是自动且全面的。这可能需要几个小时。不要因为第一批发现结果延迟出现而 感到担心。
4. 查看扫描并改进威胁模型
当初始扫描完成后,打开该扫描并查看已生成的威胁模型。
在初始发现结果出现后,更新威胁模型,使其符合你的架构、信任边界和业务背景。
这有助于 Codex Security 为你的团队对问题进行排序。
如果你希望扫描结果发生变化,可以通过编辑威胁模型来更新你的 范围、优先级和假设。
在初始发现结果出现后,重新查看该模型,以确保扫描指导与当前优先级保持一致。
保持其最新状态有助于 Codex Security 生成更好的建议。
如需更深入了解威胁模型以及它们如何影响严重性和分诊,请参阅 改进威胁模型。
5. 查看发现结果并修补
初始回填完成后,在 Findings 视图中查看发现结果。
你可以使用两种视图:
- Recommended Findings:仓库中最关键问题的动态前 10 列表
- All Findings:涵盖整个仓库中发现结果的可排序、可筛选表格
点击某个发现结果以打开其详情页,其中包括:
- 问题的简明描述
- 关键元数据,例如提交详情和文件路径
- 关于影响的上下文推理
- 相关代码摘录
- 可用时的调用路径或数据流上下文
- 验证步骤和验证输出
你可以查看每个发现结果,并直接从发现结果详情页创建 PR。
相关文档
- Codex Security 提供产品概览。
- FAQ 涵盖常见问题。
- 改进威胁模型 说明如何改进扫描上下文和发现结果优先级排序。