Appearance
改进威胁模型
了解什么是威胁模型,以及编辑它如何改进 Codex Security 的建议。
什么是威胁模型
威胁模型是仓库工作方式的安全摘要。在 Codex Security 中,你以项目概览(project overview)的形式编辑它,系统将其作为未来扫描、优先级排序和审查的上下文。
Codex Security 根据代码创建初稿。如果发现结果感觉不对,这是首先应该编辑的地方。
一个有用的威胁模型应该指出:
- 入口点和不受信任的输入
- 信任边界和身份验证假设
- 敏感数据路径或特权操作
- 你的团队希望优先审查的区域
例如:
账户变更的公共 API。接受 JSON 请求和文件上传。使用内部认证服务进行身份检查,并通过内部服务写入账单变更。重点关注认证检查、上传解析和服务间信任边界。
这为 Codex Security 提供了更好的扫描起点。
改进和更新威胁模型
如果你想改进结果,请先编辑威胁模型。当发现结果遗漏了你关心的区域或出现在意外位置时使用。威胁模型会改变未来的扫描上下文。
部分用户将当前威胁模型复制到 Codex 中,通过对话改进它,然后将更新后的版本粘贴回 Web UI。
编辑位置
要查看或更新威胁模型,请访问 Codex Security 扫描,打开仓库,然后点击编辑(Edit)。