English
主导航

推荐
API 仪表板

常见问题

关于 Codex Security 的常见问题

入门

什么是 Codex Security?

软件安全仍然是工程领域最困难且最重要的问题之一。Codex Security 是一个由 LLM 驱动的安全分析工具包,能够检查源代码并返回结构化、按优先级排序的漏洞发现结果及建议的补丁。它可以帮助开发人员和安全团队大规模地发现和修复安全问题。

为什么它很重要?

软件是现代工业和社会的基础,而漏洞会带来系统性风险。Codex Security 支持防御者优先的工作流程,通过持续识别可能存在的问题,在可能的情况下对其进行验证,并提出修复建议。这有助于团队在不拖慢开发进度的情况下提升安全性。

Codex Security 解决了什么业务问题?

Codex Security 缩短了从可疑问题到带有证据和建议补丁的、已确认且可复现的发现结果的路径。与仅使用传统扫描工具相比,它减轻了分类排查的负担并减少了误报。

Codex Security 如何运作?

Codex Security 在临时的隔离容器中运行分析,并临时克隆目标代码库。它执行代码级别的分析并返回结构化的发现结果,其中包含描述、文件和位置、严重性、根本原因以及建议的修复措施。

对于包含验证步骤的发现结果,系统会在同一沙箱中执行建议的命令或测试,记录成功或失败、退出码、stdout、stderr、测试结果以及任何生成的差异或构建产物,并将该输出作为附件证据供审查。

它会取代 SAST 吗?

不会。Codex Security 是对 SAST 的补充。它增加了基于 LLM 的语义推理和自动验证功能,而现有的 SAST 工具仍然提供广泛的确定性覆盖。

功能

什么是分析流水线?

Codex 安全防护遵循分阶段的流水线:

  1. 分析 为代码库构建威胁模型。
  2. 提交扫描 审查已合并的提交和代码库历史记录,以发现潜在问题。
  3. 验证 尝试在沙箱中复现潜在漏洞,以减少误报。
  4. 修补 与 Codex 集成,提出补丁供审查者在发起 PR 前进行检查。

它与 GitHub、Codex 和标准审查工作流中的工程师协同工作。

支持哪些语言?

Codex 安全防护与语言无关。在实践中,其性能取决于模型对代码库所用语言和框架的推理能力。

扫描完成后我会得到哪些结果?

您将获得按严重程度排序的发现结果,包括危急程度、验证状态,以及在可用时提供的建议补丁。发现结果还可能包括崩溃输出、复现证据、调用路径上下文以及相关注解。

客户代码是如何隔离的?

每个分析和验证任务都在一个临时的 Codex 容器中运行,并使用会话级别的工具。系统会提取产物供审查,任务完成后容器将被销毁。

Codex Security 会自动应用补丁吗?

不会。建议的补丁是推荐的修复方案。用户可以对其进行审查,并从发现结果 UI 中将其作为 PR 推送到 GitHub,但 Codex Security 不会自动对仓库应用更改。

扫描前需要构建项目吗?

不需要。Codex Security 可以根据仓库和提交上下文生成发现结果,而无需编译步骤。在自动验证期间,如果有助于重现问题,它可能会尝试在容器内构建项目。有关环境设置的详细信息,请参阅 Codex 云环境.

Codex Security 如何减少误报并避免损坏的补丁?

Codex Security 分两个阶段进行。首先,模型对可能的问题进行评级。然后,自动验证尝试在一个干净的容器中重现每个问题。成功重现的发现将被标记为已验证,这有助于在人工审查之前减少误报。

初始扫描需要多长时间,之后会发生什么?

初始扫描时间取决于仓库大小、构建时间以及进入验证阶段的发现数量。对于某些仓库,扫描可能需要数小时。对于较大的仓库,可能需要数天。后续扫描通常会更快,因为它们重点关注新的提交和增量更改。

什么是威胁模型?

威胁模型是仓库扫描时的安全上下文。它结合了简洁的项目概述和攻击面细节,例如入口点、信任边界、身份验证假设和风险组件。有关更多详细信息,请参阅 改进威胁模型.

威胁模型是如何生成的?

Codex Security 会提示模型总结仓库架构和安全入口点,对仓库类型进行分类,运行专门的提取器,并将结果合并为项目概述或贯穿整个扫描过程使用的威胁模型产物。

它会取代人工安全审查吗?

不会。Codex Security 可以加速审查并帮助对发现进行评级,但它不能替代代码级别的验证、可利用性检查或人工威胁评估。

我可以编辑威胁模型吗?

可以。Codex Security 会创建初始威胁模型,您可以随着架构、风险和业务背景的变化对其进行更新。有关编辑工作流,请参阅 改进威胁模型.

在使用威胁建模之前需要配置扫描吗?

需要。威胁模型的指导与您扫描的方式和内容相关联,因此您需要先配置仓库。请参阅 Codex Security 设置.

建议的补丁包含什么内容?

如果可以为该发现生成修复方案,建议的补丁将包含一个具有文件名和行上下文的最小可操作 diff。

该补丁会直接修改我的 PR 分支吗?

不会。该工作流会生成 diff、补丁文件或建议更改,供维护者和审查人员在应用之前进行检查。

验证

什么是自动验证?

自动验证是一个尝试在隔离的容器中重现疑似问题的阶段。它会记录重现是否成功或失败,并捕获日志、命令和相关产物作为证据。

如果验证失败会怎样?

该发现将保持未验证状态。日志和报告仍会记录已尝试的操作,以便工程师重试、进一步调查或调整重现步骤。