Codex 用例
扫描代码变更以排查安全问题
审查拉取请求或本地差异以排查安全退化。
难度 中级
时间周期 30m
使用 Codex Security 插件检查基于 Git 的变更集,验证潜在的安全退化,并在合并前生成基于证据的报告。
适用场景
- 涉及身份验证、授权、解析、文件访问、机密或特权工作流的拉取请求。
- 在合并前需要进行安全检查的发布分支或本地补丁。
- 需要将发现的问题锚定到已更改代码和直接支撑文件的审查者。
目录
扫描代码变更以排查安全问题
审查拉取请求或本地差异以排查安全退化。
使用 Codex Security 插件检查基于 Git 的变更集,验证潜在的安全退化,并在合并前生成基于证据的报告。
中级
30m
使用 Codex Security 插件检查基于 Git 的变更集,验证潜在的安全退化,并在合并前生成基于证据的报告。
中级
30m
适用场景
- 涉及身份验证、授权、解析、文件访问、机密或特权工作流的拉取请求。
- 在合并前需要进行安全检查的发布分支或本地补丁。
- 需要将发现的问题锚定到已更改代码和直接支撑文件的审查者。
技能与插件
- 审查拉取请求、提交、分支差异或工作区补丁,以排查并验证安全退化并提供攻击路径证据。
| 技能 | 为什么使用它 |
|---|---|
| Codex Security:安全差异扫描 | 审查拉取请求、提交、分支差异或工作区补丁,以排查并验证安全退化并提供攻击路径证据。 |
起始提示词
/goal 扫描此 PR、提交、分支差异或工作区补丁,以查找安全退化。在覆盖所有范围内的已更改文件并完成所有必需步骤之前,请勿停止。范围和规则: - 目标:[此拉取请求 / 提交 SHA / 从 BASE 到 HEAD 的分支差异 / 当前工作区补丁] - 我已获得评估此仓库和变更集的授权。 - 请特别关注 [身份验证、输入处理、机密、文件系统、网络、依赖项或其他敏感攻击面]。 - 保持此阶段为只读;不要修改代码或打开拉取请求。返回最终的 Markdown 报告,以及针对需要人工审查的发现的所有 Codex 应用审查指令。
/goal 扫描此 PR、提交、分支差异或工作区补丁,以查找安全退化。在覆盖所有范围内的已更改文件并完成所有必需步骤之前,请勿停止。范围和规则: - 目标:[此拉取请求 / 提交 SHA / 从 BASE 到 HEAD 的分支差异 / 当前工作区补丁] - 我已获得评估此仓库和变更集的授权。 - 请特别关注 [身份验证、输入处理、机密、文件系统、网络、依赖项或其他敏感攻击面]。 - 保持此阶段为只读;不要修改代码或打开拉取请求。返回最终的 Markdown 报告,以及针对需要人工审查的发现的所有 Codex 应用审查指令。
审查变更而非整个仓库
当拉取请求、提交、分支或本地补丁更改了敏感代码路径时,请使用安全差异扫描。Codex Security 插件利用仓库上下文来理解变更,然后将发现和验证过程集中在差异及直接支撑代码上。
此工作流是对常规代码审查的补充。当您需要有关安全退化的证据,而非常规的样式或测试审查时,请使用它。
运行针对性检查
- 打开仓库,检出或描述要审查的确切基于 Git 的变更集。
- 安装 Codex 安全插件 并在初始提示中指定拉取请求、提交、分支差异或工作区补丁。
- 在变更中命名高风险攻击面,例如身份验证、解析器、文件路径、网络请求或凭据处理。
- 在不请求修复的情况下运行提示,以便初步结果始终作为审查产物。
- 在决定是否进行修复之前,请检查报告中每个受影响的代码行、验证结果和所述的证明缺失。
跟进发现的问题
一份有用的报告能够区分已可达且有证据支持的安全发现与仍需确认的嫌疑问题,并可以包含针对受影响代码行的 Codex 应用审查指令。对于可操作的结果,请使用发现标识符或相关报告部分,打开一个有明确边界的新修复任务。请参阅 修复积压的漏洞 for the fix-and-validation loop.
