Codex Security 是 OpenAI 推出的 LLM 驱动安全分析工具，对 GitHub 仓库做语义级漏洞扫描，输出带验证状态和修复补丁的结构化发现。本文汇总了关于工作原理、分析流程、误报控制、威胁模型、补丁生成等方面的常见问题，帮助你在使用前建立准确的预期。

Codex Security 常见问题

入门

Q: Codex Security 是什么？

A: Codex Security 是一套 LLM 驱动的安全分析工具，对源代码做静态分析，输出有优先级排序的漏洞发现，并附带修复补丁建议。目标是帮助开发者和安全团队在代码里发现并修复安全问题。

Q: Codex Security 解决什么问题？

A: 传统安全扫描工具误报率高、发现从怀疑到确认的路径很长。Codex Security 通过语义分析 + 自动验证，缩短"发现可疑问题 → 有证据的确认发现 + 修复补丁"这条路径，减轻人工 triage 负担。

Q: 它如何工作？

A: Codex Security 在临时隔离容器里克隆目标仓库，执行代码级分析，输出包含描述、文件位置、严重程度、根因和修复建议的结构化发现。对于包含验证步骤的发现，系统在同一沙箱里执行复现命令，记录成功或失败、stdout/stderr、测试结果等作为证据附在发现详情里。

Q: 它能替代 SAST 吗？

A: 不能替代，是补充关系。传统 SAST 提供确定性规则的广覆盖；Codex Security 增加了语义推理和自动验证能力。两者结合效果更好。

---

功能特性

Q: 分析流程是怎样的？

A: 分四个阶段：

1. 分析：为仓库生成威胁模型
2. Commit 扫描：扫描已合并 commit 和历史记录
3. 验证：在沙箱里复现漏洞以减少误报
4. 修复：生成可在 Codex 里直接提 PR 的补丁

Q: 支持哪些编程语言？

A: 语言无关。实际效果取决于模型对该语言和框架的推理能力。

Q: 扫描完成后我能看到什么？

A: 带优先级的发现列表，每条发现包含：严重程度、验证状态、修复补丁（如有）、崩溃输出或复现证据、调用链上下文和相关代码标注。

Q: 客户代码如何隔离？

A: 每个分析和验证任务运行在独立的临时 Codex 容器里，使用 session 级别的工具权限。产物提取完成后容器立即销毁。

Q: Codex Security 会自动应用修复补丁吗？

A: 不会。修复补丁是建议，需要人工从发现详情页审查后主动触发 PR 创建，Codex Security 不会直接修改仓库代码。

Q: 扫描项目时需要先编译吗？

A: 不需要。Codex Security 可以基于仓库代码和 commit 上下文直接分析，无需编译。自动验证阶段可能会尝试在容器里构建项目以复现问题。

Q: 如何减少误报？

A: 使用两阶段机制：先由模型排序可疑问题，再由自动验证在干净容器里复现。成功复现的发现标记为"已验证"，帮助在人工审查前过滤掉低置信度的条目。

Q: 初始扫描需要多久？后续呢？

A: 初始扫描时长取决于仓库大小、构建时间和进入验证阶段的发现数量。小仓库可能数小时，大型仓库可能需要数天。后续扫描通常更快，因为只关注新 commit 和增量变化。

---

威胁模型

Q: 什么是威胁模型？

A: 威胁模型是仓库的安全上下文摘要，包含项目概览、入口点、信任边界、认证假设和风险组件。它影响扫描方向和发现优先级排序。详见Codex Security 威胁模型。

Q: 威胁模型是怎么生成的？

A: Codex Security 提示模型总结仓库架构和安全入口点、分类仓库类型、运行专门的提取器，然后将结果合并成威胁模型用于整个扫描流程。

Q: 我能编辑威胁模型吗？

A: 可以。Codex Security 生成初始版本，你可以随时更新以反映架构变化、业务重点和风险优先级的调整。编辑方式见威胁模型文档。

Q: 必须先配置扫描才能用威胁模型吗？

A: 是的。威胁模型和扫描配置绑定，需要先配置仓库扫描，见Codex Security 配置向导。

---

修复补丁

Q: 修复补丁包含什么内容？

A: 包含针对该发现的最小可操作 diff，带文件名和行上下文。

Q: 补丁会直接修改我的分支吗？

A: 不会。流程是：生成 diff/patch 文件 → 你在 UI 里审查 → 确认后推送到 GitHub PR。不会自动应用到任何分支。

---

验证

Q: 自动验证是什么？

A: 自动验证阶段在隔离容器里尝试复现可疑问题，记录是否复现成功，并收集日志、命令、相关产物作为证据。

Q: 如果验证失败怎么办？

A: 该发现保持"未验证"状态。日志和报告仍然保留了尝试内容，供工程师进一步排查、调整复现步骤或人工重试。

---

常见问题

Q: Codex Security 能完全替代手动安全审查吗？

A: 不能。Codex Security 加快审查速度、帮助排优先级，但不能替代代码级可利用性验证、人工威胁评估和深度安全审计。

Q: 扫描结果不理想，总是扫到不重要的地方，怎么改善？

A: 更新威胁模型是最直接的方式——明确你的入口点、信任边界和优先关注领域，告诉系统哪些代码区域最重要。

Q: 多久扫一次合适？

A: Codex Security 在新 commit 进入时自动增量扫描，不需要手动触发定期扫描。关注发现列表的增量变化即可，重大架构变化后建议同步更新威胁模型。