Codex Security 插件快速开始
安装 Codex Security plugin,运行首次只读扫描,并在 Codex 中评审结果。
Codex Security 是 Codex 的安全评审插件,可以扫描代码漏洞、验证可信的发现,并在可评审工作区中提供证据和修复指导。使用它可以在代码进入生产环境前,查找你拥有或已获授权评估的代码中的安全问题。
本快速开始介绍一条推荐的首次运行路径:在 ChatGPT 桌面应用中,对本地仓库执行普通、只读的扫描。
安装插件
在 ChatGPT 桌面应用的 Codex 中打开要评估的仓库,然后安装 Codex Security:
安装后,在该仓库中启动一个新的 Codex 任务。应用会在任务开始时加载插件,因此不要继续使用安装前已经打开的任务。
运行第一次扫描
为获得最佳扫描质量,请使用 gpt-5.6,并把推理强度设为 high 或 xhigh。
请求普通扫描
在新任务中发送下面的提示词:
Run a Codex Security scan on this repository.确认设置
Codex 会在扫描开始前打开设置工作区。第一次运行时,使用以下设置:
- Scan type(扫描类型):
Codebase - Deep scan(深度扫描):
Off - Scan area(扫描范围):
Entire codebase - Threat model scoping guidance(威胁模型范围说明): 除非已经明确要优先处理的攻击向量或应用区域,否则留空。
确认 Codebase(代码库)、Current branch(当前分支) 和 Last commit(最新提交) 指向你准备扫描的仓库,然后选择 Start scan(开始扫描)。
- Scan type(扫描类型):

开始扫描前,请配置扫描目标、扫描区域、分支和可选的威胁模型指导。
等待扫描完成
扫描可能需要一段时间。请保持任务运行,直到工作区报告完成。如果 Codex 发现配置限制,请先评审具体限制和建议改动,再允许它更新配置。
评审结果
使用 UI 浏览发现,或打开生成的报告进行完整、可携带的评审。

可以按严重性、类别、目录、补丁状态和评审状态浏览发现。
扫描会创建什么
每次完成扫描都会打开一个发现工作区。你可以在其中评审发现和覆盖范围,而不必检查原始产物。扫描还会创建:
report.md:用于共享或归档的完整、可携带报告。scan-manifest.json、findings.json和coverage.json中的结构化扫描数据,可用于自动化和集成;通常不需要手工打开这些文件。
选择下一步工作流
- 运行标准或限定范围扫描:使用默认工作流扫描整个仓库或一个文件夹。
- 运行深度扫描:需要更全面的扫描,并可以等待更长时间。
- 评审代码变更:目标是 pull request、commit、branch range 或 working-tree patch。
- 分诊积压:需要评审已有安全发现。
- 修复并验证发现:接受某项发现并准备修复。
- 导出或跟踪发现:需要 JSON、CSV、SARIF、经过审批的 Linear、GitHub 或 Jira issue,或 private draft GitHub Security Advisory。
从 Codex CLI 安装
要从 Codex CLI 安装同一个插件,请在仓库中启动 Codex,然后打开插件浏览器(plugin browser):
codex
/plugins搜索 Codex Security,选择 Install plugin(安装插件),再启动一个新任务。之后使用同一条首次扫描提示词。