当你需要证明某个由 Git 支撑的变更集是否引入安全回归时,使用安全变更评审。这个工作流会审查所有发生变更的源码类文件和直接支撑代码,但不会把任务扩展成通用仓库审计。
如果你想扫描完整仓库,而不是某个具体变更,请参见运行安全扫描。
运行手动评审
对于未提交改动,发送:
Use $codex-security:security-diff-scan to review my current uncommitted changes for security regressions.对于 commit 或 branch range,必要时明确两端:
Use $codex-security:security-diff-scan to review the changes from origin/main to HEAD for security regressions. Focus on authentication, authorization, input handling, filesystem access, network requests, and secrets.当 pull request 的 base 和 head revision 在本地 checkout 中可用时,也可以直接指定 pull request。
在 setup 中确认变更
- 确认 Scan type 是
Changes。 - 确认已 checkout 的 Codebase、Current branch 和 Last commit。
- 在 Changes to review 下选择:
Uncommitted changes:当前 working tree。- 最新 commit:单 commit 评审。
- base 和 head revision:branch 或 pull-request range。
- 确认摘要描述的是你想评审的变更。
- 选择 Start scan。
这个工作流不会 checkout 另一个分支,也不会修改选中的 working tree。如果请求的 revision 本地不可用,请先 fetch,或者提供一组本地可用的 base 和 head。
处理发现结果
审查结果后,可以修复并验证已接受的发现,或导出和跟踪发现。
在 CI/CD 中自动化评审
当 CI runner 能以非交互方式调用 Codex CLI 时,可以在 CI 中运行同一个 $codex-security:security-diff-scan 技能。runner 必须已经在 codex exec 使用的 CODEX_HOME 中安装 Codex Security。全新的 runner 默认没有安装 marketplace 插件,openai/codex-action 也不会安装该插件。
运行扫描前:
- 在 runner 的
CODEX_HOME中预先安装并配置 Codex Security。 - checkout 精确的 base 和 head revisions,并保留对应 Git 历史。
- 把 runner 的平台临时目录(例如
TMPDIR)设为可写的产物位置。diff-scan 工作流会在不修改 checkout 的情况下审查代码,但会把密封扫描包(sealed scan bundle)和最终报告写到仓库外。 - 先从 advisory 结果开始。审查扫描质量和运行时间后,再把 job 设为 required check。
然后显式调用插件:
export CODEX_HOME=/path/to/codex-home-with-codex-security
export TMPDIR=/path/to/writable/temp
codex exec \
--sandbox workspace-write \
--output-last-message "$TMPDIR/codex-security-review.md" \
'Use $codex-security:security-diff-scan to review changes from <base-revision> to <head-revision> for security regressions. Do not modify the checkout. Return the final report path, findings summary, reviewed surfaces, deferred coverage, and open questions.'归档生成的扫描包和最终报告,然后通过你的 CI/CD 系统发布 Markdown 摘要。如果使用 openai/codex-action,请把它的 codex-home 输入指向同一个已经预先安装并配置 Codex Security 的目录,并传入上面的技能提示词。该 action 可以安装并运行 Codex CLI,但插件预配置是单独的前置条件。
关于 API key 处理、沙箱控制、fork 保护和 GitHub Actions 工作流,请参见 Codex GitHub Action 指南。