OpenAI Codex 中文教程

评审代码变更的安全性

对一个由 Git 支撑的变更集做安全回归评审,而不是展开成全仓库审计。

当你需要证明某个由 Git 支撑的变更集是否引入安全回归时,使用安全变更评审。这个工作流会审查所有发生变更的源码类文件和直接支撑代码,但不会把任务扩展成通用仓库审计。

如果你想扫描完整仓库,而不是某个具体变更,请参见运行安全扫描

运行手动评审

对于未提交改动,发送:

Use $codex-security:security-diff-scan to review my current uncommitted changes for security regressions.

对于 commit 或 branch range,必要时明确两端:

Use $codex-security:security-diff-scan to review the changes from origin/main to HEAD for security regressions. Focus on authentication, authorization, input handling, filesystem access, network requests, and secrets.

当 pull request 的 base 和 head revision 在本地 checkout 中可用时,也可以直接指定 pull request。

在 setup 中确认变更

  1. 确认 Scan typeChanges
  2. 确认已 checkout 的 CodebaseCurrent branchLast commit
  3. Changes to review 下选择:
    • Uncommitted changes:当前 working tree。
    • 最新 commit:单 commit 评审。
    • base 和 head revision:branch 或 pull-request range。
  4. 确认摘要描述的是你想评审的变更。
  5. 选择 Start scan

这个工作流不会 checkout 另一个分支,也不会修改选中的 working tree。如果请求的 revision 本地不可用,请先 fetch,或者提供一组本地可用的 base 和 head。

处理发现结果

审查结果后,可以修复并验证已接受的发现,或导出和跟踪发现

在 CI/CD 中自动化评审

当 CI runner 能以非交互方式调用 Codex CLI 时,可以在 CI 中运行同一个 $codex-security:security-diff-scan 技能。runner 必须已经在 codex exec 使用的 CODEX_HOME 中安装 Codex Security。全新的 runner 默认没有安装 marketplace 插件,openai/codex-action 也不会安装该插件。

运行扫描前:

  1. 在 runner 的 CODEX_HOME 中预先安装并配置 Codex Security。
  2. checkout 精确的 base 和 head revisions,并保留对应 Git 历史。
  3. 把 runner 的平台临时目录(例如 TMPDIR)设为可写的产物位置。diff-scan 工作流会在不修改 checkout 的情况下审查代码,但会把密封扫描包(sealed scan bundle)和最终报告写到仓库外。
  4. 先从 advisory 结果开始。审查扫描质量和运行时间后,再把 job 设为 required check。

然后显式调用插件:

export CODEX_HOME=/path/to/codex-home-with-codex-security
export TMPDIR=/path/to/writable/temp

codex exec \
  --sandbox workspace-write \
  --output-last-message "$TMPDIR/codex-security-review.md" \
  'Use $codex-security:security-diff-scan to review changes from <base-revision> to <head-revision> for security regressions. Do not modify the checkout. Return the final report path, findings summary, reviewed surfaces, deferred coverage, and open questions.'

归档生成的扫描包和最终报告,然后通过你的 CI/CD 系统发布 Markdown 摘要。如果使用 openai/codex-action,请把它的 codex-home 输入指向同一个已经预先安装并配置 Codex Security 的目录,并传入上面的技能提示词。该 action 可以安装并运行 Codex CLI,但插件预配置是单独的前置条件。

关于 API key 处理、沙箱控制、fork 保护和 GitHub Actions 工作流,请参见 Codex GitHub Action 指南