本页会带你从最初访问开始,一路走到审查发现结果并创建修复 PR。
1. 访问与环境
Codex Security 会扫描通过 Codex Cloud 连接的 GitHub 仓库。
- 确认你的工作区已经获得 Codex Security 访问权限。
- 确认你想扫描的仓库已经在 Codex Cloud 中可用。
前往 Codex environments,检查这个仓库是否已经有环境。如果没有,请先在那里创建后再继续。
2. 新建安全扫描
环境准备好后,前往 Create a security scan,并选择你刚连接的仓库。
Codex Security 会先从最新提交开始向后扫描仓库。它会据此构建并刷新扫描上下文,以便在新提交进入时持续更新。
配置仓库时:
- 选择 GitHub 组织。
- 选择仓库。
- 选择要扫描的分支。
- 选择环境。
- 选择 history window(历史窗口)。窗口越长,上下文越完整,但首次回填也会更久。
- 点击 Create(创建)。
3. 首次扫描可能需要一些时间
创建扫描后,Codex Security 会先针对所选 history window 做一次按提交逐个执行的安全扫描。首次回填可能需要数小时,尤其当仓库较大或历史窗口较长时。如果发现结果没有立刻出现,这是正常现象。在提交工单或开始排障之前,请先等待首次扫描完成。
首次扫描设置是自动且较为彻底的。因此即便第一批发现结果延迟数小时出现,也不必惊慌。
4. 审查扫描并改进威胁模型
首次扫描完成后,打开扫描任务并审查自动生成的威胁模型。初始发现结果出现后,请继续更新威胁模型,使其更贴合你的架构、信任边界和业务上下文。这能帮助 Codex Security 更准确地为团队排序问题优先级。
如果你希望扫描结果发生变化,可以通过编辑威胁模型来调整作用域、优先级和假设。
初始发现结果出现后,建议持续回看并更新威胁模型,让扫描指导始终贴合当前优先级。保持其最新状态,有助于 Codex Security 提供更好的建议。
关于威胁模型及其如何影响严重性(criticality)与分诊(triage)的更深入说明,请参见 改进威胁模型。
5. 审查发现结果并打补丁
首次回填完成后,在 Findings 视图中审查发现结果。
你可以使用两种视图:
- Recommended Findings:动态更新的前 10 条最关键问题列表
- All Findings:覆盖整个仓库、可排序且可筛选的发现结果表格
点击某条发现结果,可以打开它的详情页,其中通常包含:
- 对问题的简明描述
- 关键元数据,例如提交信息和文件路径
- 关于影响面的上下文推理
- 相关代码摘录
- 调用路径或数据流上下文(若可用)
- 验证步骤与验证输出
你也可以直接在详情页中审查该发现结果并创建 PR。