Codex 安全
用 Codex 查找、验证并修复安全问题
如果要按推荐路径执行第一次本地扫描,请从 Codex 安全插件快速开始 开始。
探索插件用例
- 运行安全扫描,评审整个仓库或一个限定文件夹。
- 运行深度安全扫描,在你需要更全面扫描、也能等待更久时使用。
- 评审代码变更,在合并 pull request 或分支前检查风险。
- 分诊积压,用于评审已有安全发现。
- 修复并验证发现,为已批准的发现结果生成有边界的 patch。
- 导出或跟踪发现,把结果转成可携带产物,或交给需要审批的跟踪目标。
- 查看更新,了解 Codex 安全插件的最新变化。
Codex 安全云端
Codex 安全云端目前处于研究预览阶段。它会扫描已连接的 GitHub 仓库,查找高概率安全问题。
它能帮助团队:
- 发现高概率漏洞:利用仓库特定的威胁模型和真实代码上下文来识别问题。
- 降低噪音:在你开始人工评审前,先对发现结果做验证。
- 把发现逐步推进到修复:提供排序后的结果、证据以及建议补丁选项。
Codex 安全云端如何工作
Codex 安全会对已连接的仓库按提交逐个扫描。它会基于你的仓库构建扫描上下文,再结合这些上下文检查高概率漏洞,并在隔离环境中验证高信号问题,然后再把结果展示出来。
你获得的是一套聚焦于以下目标的工作流:
- 使用仓库特定上下文,而不是通用签名规则
- 提供验证证据,帮助减少误报
- 给出可在 GitHub 中评审的建议修复方案
Codex 安全云端访问与前提条件
Codex 安全云端会通过 Codex 云端扫描已连接的 GitHub 仓库。如果某个仓库没有出现在列表中,请确认该仓库已在你的 Codex 云端工作区中可用,或联系你的 OpenAI 客户团队。
相关文档
- Codex 安全插件快速开始 会带你完成安装和第一次本地扫描。
- Codex 安全云端设置 详细介绍设置、扫描和发现结果评审。
- 改进威胁模型 说明如何调整扫描范围、攻击面和严重性假设。
- 常见问题 解答常见产品问题。