Appearance
常见问题
Codex Security 是什么?
软件安全仍然是工程中最困难也最重要的问题之一。Codex Security 是一个 LLM 驱动的安全分析工具包,可以检查源代码并返回结构化、分级的漏洞发现结果和建议的补丁。它帮助开发人员和安全团队大规模发现和修复安全问题。
为什么它很重要?
软件是现代工业和社会的基础,漏洞会造成系统性风险。Codex Security 通过持续识别可能的问题、尽可能验证它们并提出修复方案,支持以防御者优先的工作流。
Codex Security 如何工作?
Codex Security 在临时的隔离容器中运行分析,临时克隆目标仓库。它执行代码级分析并返回结构化发现结果,包含描述、文件和位置、严重性、根本原因和建议的修复方案。
对于包含验证步骤的发现结果,系统在同一沙箱中执行建议的命令或测试,记录成功/失败、退出码、stdout、stderr 和测试结果。
它取代 SAST 吗?
不。Codex Security 补充了 SAST。它增加了基于 LLM 的语义推理和自动验证,而现有的 SAST 工具仍提供广泛的确定性覆盖。
分析流水线是什么?
Codex Security 遵循分阶段流水线:
- 分析 —— 为仓库构建威胁模型
- 提交扫描 —— 审查已合并的提交和仓库历史以发现可能的问题
- 验证 —— 尝试在沙箱中复现可能的漏洞以减少误报
- 补丁 —— 与 Codex 集成以建议补丁,审查者可在打开 PR 前检查
支持哪些语言?
Codex Security 是语言无关的。实际效果取决于模型对仓库所用语言和框架的推理能力。
扫描完成后我能获得什么?
你将获得分级的发现结果,包含严重性、验证状态和可用的建议补丁。
客户代码如何隔离?
每次分析和验证作业在临时的 Codex 容器中运行,使用会话级别的工具。产物被提取用于审查,容器在作业完成后被销毁。
Codex Security 会自动应用补丁吗?
不。建议的补丁是推荐的修复方案。用户可以在发现结果 UI 中审查并将其推送到 GitHub 作为 PR。
初始扫描需要多长时间?
初始扫描时间取决于仓库大小、构建时间以及有多少发现结果进入验证阶段。对于某些仓库,扫描可能需要几个小时。对于较大的仓库,可能需要多天。后续扫描通常更快。
什么是威胁模型?
威胁模型是仓库的扫描时安全上下文。它结合了简洁的项目概述和攻击面细节,如入口点、信任边界、身份验证假设和风险组件。
它会取代人工安全审查吗?
不。Codex Security 加速了审查并帮助对发现结果进行排序,但它不会取代人工威胁评估。