深度扫描比标准扫描更慢,但更彻底。当你想降低结果波动,并更全面地搜索代码时使用它。
先从标准扫描开始。当你对结果满意后,再运行深度扫描获得更彻底的评估。
在标准扫描和深度扫描之间选择
| 标准扫描 | 深度扫描 | |
|---|---|---|
| 最适合 | 首次运行,以及常规仓库或文件夹评审 | 标准扫描后的更彻底评审 |
| 波动性 | 标准 | 更低 |
| 范围 | 仓库或明确文件夹 | 仓库或明确文件夹 |
| 运行时间和资源 | 更低 | 更高 |
| Pull requests 和 diff | 使用变更评审工作流 | 不支持;改用变更评审工作流 |
启动深度扫描
对于仓库级评审,发送:
Use $codex-security:deep-security-scan to run a deep security scan of this repository.如果只评审单仓多项目仓库(monorepo)中的一个组件,请显式指出文件夹:
Use $codex-security:deep-security-scan to run a deep security scan of /absolute/path/to/repository/services/payments.在 Codex App 中,限定范围的深度扫描会把选中的文件夹解析为 Codebase,并把扫描区域显示为整个选中目标。
确认设置和预检
- 确认 Scan type 是
Codebase,并且 Deep scan 已开启。 - 确认 Codebase 是你想扫描的仓库或精确文件夹。
- 只有当威胁模型指导信息指向具体攻击向量、敏感应用区域,或代码本身无法显示的仓库上下文时,才添加它。
- 选择 Start scan。
- 审查能力预检。如果它提出配置变更,请审查具体改动,只有在符合你的环境时才让 Codex 应用。如果 Codex 告诉你需要重启,请开启新的对话线程。
审查结果
深度扫描使用和标准扫描相同的发现工作区(findings workspace)与生成的 report.md。先审查覆盖范围摘要,再看发现结果。深度扫描会更广泛地搜索代码,但任何延后处理的表面或证据缺口仍然会限制结论。对于你接受的发现,继续阅读修复并验证发现。
若要审查 pull request、commit、branch range 或本地 patch,请使用评审代码变更。深度扫描不能替代面向 diff 的工作流。