OpenAI Codex 中文教程

运行深度安全扫描

当你希望降低波动、做更全面搜索时,使用深度扫描。

深度扫描比标准扫描更慢,但更彻底。当你想降低结果波动,并更全面地搜索代码时使用它。

先从标准扫描开始。当你对结果满意后,再运行深度扫描获得更彻底的评估。

在标准扫描和深度扫描之间选择

标准扫描 深度扫描
最适合 首次运行,以及常规仓库或文件夹评审 标准扫描后的更彻底评审
波动性 标准 更低
范围 仓库或明确文件夹 仓库或明确文件夹
运行时间和资源 更低 更高
Pull requests 和 diff 使用变更评审工作流 不支持;改用变更评审工作流

启动深度扫描

对于仓库级评审,发送:

Use $codex-security:deep-security-scan to run a deep security scan of this repository.

如果只评审单仓多项目仓库(monorepo)中的一个组件,请显式指出文件夹:

Use $codex-security:deep-security-scan to run a deep security scan of /absolute/path/to/repository/services/payments.

在 Codex App 中,限定范围的深度扫描会把选中的文件夹解析为 Codebase,并把扫描区域显示为整个选中目标。

确认设置和预检

  1. 确认 Scan typeCodebase,并且 Deep scan 已开启。
  2. 确认 Codebase 是你想扫描的仓库或精确文件夹。
  3. 只有当威胁模型指导信息指向具体攻击向量、敏感应用区域,或代码本身无法显示的仓库上下文时,才添加它。
  4. 选择 Start scan
  5. 审查能力预检。如果它提出配置变更,请审查具体改动,只有在符合你的环境时才让 Codex 应用。如果 Codex 告诉你需要重启,请开启新的对话线程。

审查结果

深度扫描使用和标准扫描相同的发现工作区(findings workspace)与生成的 report.md。先审查覆盖范围摘要,再看发现结果。深度扫描会更广泛地搜索代码,但任何延后处理的表面或证据缺口仍然会限制结论。对于你接受的发现,继续阅读修复并验证发现

若要审查 pull request、commit、branch range 或本地 patch,请使用评审代码变更。深度扫描不能替代面向 diff 的工作流。