Codex 安全插件会把安全评审工作流加入 Codex,用于检查你已获授权评估的代码。你可以在打开的仓库中审查代码库、评估变更是否引入安全回归、确认可信的发现结果,并准备最小化修复供审查。
安装插件
安装后,在你想评估的仓库中开启一个新线程。
-
打开 Codex
在你的仓库中启动 Codex:
codex -
打开插件浏览器
输入以下命令:
/plugins -
安装 Codex 安全
搜索 Codex 安全,打开结果,然后选择
Install plugin。 -
开始新线程
在你已获授权评审的仓库中开启一个新线程。
选择安全工作流
选择足以回答问题的最小工作流。聚焦 diff 的扫描比全仓库扫描更容易审查;深度扫描会刻意投入更多时间和 token,用来搜索更多候选发现。
| 目标 | 技能 | 范围和输出 |
|---|---|---|
| 评审仓库或某个限定路径 | $codex-security:security-scan |
运行威胁建模、发现搜索、验证和攻击路径分析,并生成 Markdown 与 HTML 报告。 |
| 执行更高召回率的审计 | $codex-security:deep-security-scan |
在验证和报告前,通过委派 worker 反复搜索全仓库中的候选发现。仅适用于整个仓库。 |
| 在合并前评审变更 | $codex-security:security-diff-scan |
评审 pull request、commit、branch diff 或工作树 patch,并生成基于变更代码的 Markdown 报告。 |
| 修复一个发现结果 | $codex-security:fix-finding |
复现或验证一个可信的发现结果,必要时做最小化修复,并检查易受攻击的行为不再复现。 |
例如,要扫描一个仓库:
Use $codex-security:security-scan to scan this repository for security
vulnerabilities. Keep the scan grounded in code evidence, validate plausible
findings where feasible, and return the final report paths. Do not modify code.如果要改为评审当前变更:
Use $codex-security:security-diff-scan to review the current branch diff for
security regressions. Keep the review scoped to changed code and directly
supporting files. Do not modify code.审查结果并修复发现
仓库扫描使用分阶段工作流:
- 威胁建模:识别入口点、信任边界、敏感操作和高风险组件。
- 发现搜索:在请求范围内寻找具体的 source-to-sink 路径或失效控制。
- 验证:测试或以其他方式验证可信的发现结果,并记录证据以及仍无法证明的部分。
- 攻击路径分析:追踪可利用路径,并为通过验证的发现结果评定严重程度。
- 报告:把发现结果、受影响位置、验证证据、修复指导和评审指令写入 artifacts。
普通仓库扫描或深度扫描会在扫描目录中写入 report.md 和可读的 report.html。diff scan 会写入一份聚焦当前变更的 Markdown 报告。开始修复前,请先审查受影响文件、证据、假设和严重程度。
当某个发现结果可以处理时,用有边界的请求启动修复:
Use $codex-security:fix-finding to fix finding [finding ID or report
reference]. Add focused regression coverage, verify legitimate behavior still
works, and show that the original issue no longer reproduces. Do not broaden
the change beyond this finding.保持安全工作已授权且可审查
只对你拥有或组织授权你评估的仓库、diff 和系统运行扫描。发现结果是供审查的输入,不是合并代码或测试无关目标的指令。
- 除非你明确要求 Codex 准备修复,否则第一次扫描应保持只读。
- 批准命令前,先审查那些会构建、运行项目或复现行为的命令;在不熟悉的仓库中尤其要这样做。
- 合并前审查每个建议 patch 和验证结果。
- 使用插件时,继续保留仓库指令和审批策略。详情参见智能体审批与安全。