Appearance
Codex Security 建立在 Codex Cloud 之上,对 GitHub 仓库做 LLM 驱动的安全扫描。本文是从零开始的配置向导:准备 Cloud 环境 → 发起安全扫描 → 等待初始分析(可能需要数小时)→ 更新威胁模型让扫描结果更准确 → 审查漏洞发现并一键创建修复 PR。
Codex Security 配置向导
本文引导你完成 Codex Security 的完整配置流程。
前提:先完成 Codex Cloud 配置,保证需要扫描的仓库已经连接。
第一步:确认环境
Codex Security 通过 Codex Cloud 扫描 GitHub 仓库。
- 确认你的工作区有 Codex Security 访问权限
- 确认要扫描的仓库在 Codex Cloud 中已连接
前往 Codex 环境设置页,检查目标仓库是否已有对应环境。如果没有,先在这里创建一个,再继续后续步骤。
第二步:创建安全扫描
打开 创建安全扫描页面,选择刚才连接的仓库。
配置参数:
- 选择 GitHub 组织
- 选择仓库
- 选择扫描分支
- 选择环境
- 选择历史窗口——历史窗口越长,扫描上下文越丰富,但初始回填耗时越长
- 点击 Create
Codex Security 从最新 commit 向历史回溯扫描,并在新 commit 进入时持续更新扫描上下文。
第三步:等待初始扫描完成
创建扫描后,Codex Security 会在选定的历史窗口内逐 commit 做安全分析。
初始回填可能需要数小时,大型仓库或较长历史窗口尤其如此。如果漏洞发现没有立即显示,这是正常现象,不必担心——等初始扫描完成即可。
初次扫描是自动且全面的,可能比预期慢。等它完成,不要在第一批发现出现前开工单或排查问题。
第四步:查看扫描结果并优化威胁模型
前往 Codex Security 扫描列表,打开对应仓库的扫描结果。
初始扫描完成后,系统会自动生成一个威胁模型(threat model)。建议在第一批发现出来后立即更新威胁模型,让它更贴近你的实际架构和业务上下文,从而提升后续扫描的精准度。
威胁模型有效的写法是明确说明:
- 入口点和不可信的输入来源
- 信任边界和认证假设
- 敏感数据路径和特权操作
- 团队优先审查的关注点
点击扫描记录里的 Edit 按钮,直接在 Web UI 里修改威胁模型。
更多关于威胁模型的说明,见Codex Security 威胁模型。
第五步:审查发现并创建修复 PR
前往 漏洞发现列表 查看扫描结果。
支持两种视图:
- Recommended Findings:Top 10 最高优先级问题(动态更新)
- All Findings:全量可排序、可过滤的发现列表
点击任意发现条目,可以看到:
- 问题的简洁描述
- commit 信息、文件路径等关键元数据
- 影响范围的上下文推断
- 相关代码片段
- 调用链或数据流上下文(如适用)
- 验证步骤和验证结果
直接从发现详情页创建修复 PR:Codex Security 生成补丁草稿,你在 diff 视图里审查后,一键提交到 GitHub。
相关文档
- Codex Security 产品概览 — 功能全景和适用场景
- Codex Security 威胁模型 — 如何编写和更新威胁模型
- Codex Security 常见问题 — 工作原理、误报率控制等
常见问题
Q: 初始扫描一直没有结果,是不是出错了?
A: 初次扫描涉及全量历史分析,对于大型仓库可能需要数小时甚至更长。只要创建扫描时没有报错,通常等待即可。如果超过 24 小时仍无任何发现,再考虑排查环境配置。
Q: 扫描结果感觉不准,总是扫到不重要的地方,怎么改善?
A: 更新威胁模型是最直接的方法。在威胁模型里明确你的架构信任边界、关键组件和优先审查区域,Codex Security 会根据这些信息调整后续扫描的方向和发现优先级。
Q: Codex Security 会自动合并修复 PR 吗?
A: 不会。所有修复补丁都需要人工审查,你在 diff 视图确认后手动触发 PR 创建,Codex Security 不会自动修改仓库代码。