Codex Security 插件快速开始

安装 Codex Security plugin,运行首次只读扫描,并在 Codex 中评审结果。

Codex Security 是 Codex 的安全评审插件,可以扫描代码漏洞、验证可信的发现,并在可评审工作区中提供证据和修复指导。使用它可以在代码进入生产环境前,查找你拥有或已获授权评估的代码中的安全问题。

本快速开始介绍一条推荐的首次运行路径:在 ChatGPT 桌面应用中,对本地仓库执行普通、只读的扫描。

安装插件

在 ChatGPT 桌面应用的 Codex 中打开要评估的仓库,然后安装 Codex Security:

安装 Codex Security 插件

安装后,在该仓库中启动一个新的 Codex 任务。应用会在任务开始时加载插件,因此不要继续使用安装前已经打开的任务。

运行第一次扫描

为获得最佳扫描质量,请使用 gpt-5.6,并把推理强度设为 highxhigh

  1. 请求普通扫描

    在新任务中发送下面的提示词:

    Run a Codex Security scan on this repository.
  2. 确认设置

    Codex 会在扫描开始前打开设置工作区。第一次运行时,使用以下设置:

    • Scan type(扫描类型): Codebase
    • Deep scan(深度扫描): Off
    • Scan area(扫描范围): Entire codebase
    • Threat model scoping guidance(威胁模型范围说明): 除非已经明确要优先处理的攻击向量或应用区域,否则留空。

    确认 Codebase(代码库)Current branch(当前分支)Last commit(最新提交) 指向你准备扫描的仓库,然后选择 Start scan(开始扫描)

已配置为扫描整个代码库的 Codex Security 设置工作区

开始扫描前,请配置扫描目标、扫描区域、分支和可选的威胁模型指导。

  1. 等待扫描完成

    扫描可能需要一段时间。请保持任务运行,直到工作区报告完成。如果 Codex 发现配置限制,请先评审具体限制和建议改动,再允许它更新配置。

  2. 评审结果

    使用 UI 浏览发现,或打开生成的报告进行完整、可携带的评审。

OWASP Juice Shop 的 Codex Security 发现工作区已完成扫描

可以按严重性、类别、目录、补丁状态和评审状态浏览发现。

扫描会创建什么

每次完成扫描都会打开一个发现工作区。你可以在其中评审发现和覆盖范围,而不必检查原始产物。扫描还会创建:

  • report.md:用于共享或归档的完整、可携带报告。
  • scan-manifest.jsonfindings.jsoncoverage.json 中的结构化扫描数据,可用于自动化和集成;通常不需要手工打开这些文件。

选择下一步工作流

从 Codex CLI 安装

要从 Codex CLI 安装同一个插件,请在仓库中启动 Codex,然后打开插件浏览器(plugin browser):

codex
/plugins

搜索 Codex Security,选择 Install plugin(安装插件),再启动一个新任务。之后使用同一条首次扫描提示词。