Appearance
Codex Security 是 OpenAI 为工程和安全团队提供的代码漏洞扫描产品,连接 GitHub 仓库后,它会用仓库的真实代码上下文(而不是通用规则)来识别可能的漏洞,在隔离环境中验证高信号发现,再输出排好优先级的修复建议。目标是减少误报、加速从"发现"到"修复"的路径。
Codex Security:AI 代码安全扫描
Codex Security 帮助工程团队和安全团队在 GitHub 仓库里找到、验证、并修复可能的安全漏洞。
注意:本页介绍的是 Codex Security 产品(漏洞扫描)。如需了解 Codex Agent 的沙箱配置、审批机制和网络访问控制,请参考 Agent 审批与安全。
核心价值
传统的代码扫描工具基于通用规则(签名),误报率高,开发者对告警疲劳。Codex Security 的差异化在于:
- 基于仓库专属威胁模型:理解你这个项目的代码结构和攻击面,而不是套用通用规则
- 验证后再上报:在隔离环境里验证高信号问题,减少你需要人工排查的误报
- 从发现到修复:提供排好优先级的结果、证据,和可在 GitHub 直接审查的修复建议
工作流程
连接仓库 → 构建威胁模型 → 扫描代码(逐 commit)→ 在隔离环境验证 → 上报高信号发现 → 提供修复建议- 连接 GitHub 仓库:授权 Codex Security 访问
- 扫描:逐 commit 扫描,结合仓库上下文检查可能的漏洞
- 验证:高信号问题在隔离环境里实际验证,而不是仅靠静态分析判断
- 结果:在 GitHub 里查看排好优先级的发现,带证据和修复建议
访问与前提条件
- 需要 Codex Web 连接的 GitHub 仓库(通过 ChatGPT.com)
- OpenAI 管理访问权限
如果你需要访问权限、或者某个仓库在工作区里不可见,联系你的 OpenAI 账户团队,并确认该仓库已在 Codex Web 工作区里可用。
相关文档
| 主题 | 链接 |
|---|---|
| 配置扫描、查看发现 | Codex Security 配置 |
| 常见产品问题 | Security FAQ |
| 调整威胁模型(攻击面、范围、严重性假设) | 改进威胁模型 |
| Agent 的沙箱、审批、网络控制 | Agent 审批与安全 |
Codex Security vs 传统 SAST 工具
| 维度 | 传统 SAST | Codex Security |
|---|---|---|
| 规则来源 | 通用签名 | 仓库专属威胁模型 |
| 误报率 | 较高 | 验证后上报,误报少 |
| 上下文理解 | 有限 | 真实代码上下文 |
| 修复建议 | 通用 | 针对当前代码的具体建议 |
| 集成方式 | 独立工具 | 深度集成 GitHub |
常见问题
Q: Codex Security 和 GitHub Advanced Security(GHAS)有什么区别?
A: GHAS 主要是基于规则的静态分析(CodeQL)。Codex Security 用 AI 理解仓库的真实上下文和攻击面,特别擅长发现需要多步推理才能识别的逻辑漏洞,比如跨文件的权限绕过。两者可以互补使用。
Q: 扫描的范围是什么,会扫描所有分支吗?
A: 目前是逐 commit 扫描连接的仓库,主要跟踪代码变化。具体扫描范围和分支策略通过 威胁模型配置 调整。
Q: 发现了漏洞之后怎么处理,Codex 会自动修复吗?
A: Codex Security 提供修复建议,但实际合入是由你决定的——它会在 GitHub 里展示 diff,你审查后决定是否采用。如果想自动化修复流程,可以配合 @codex fix [issue] 的 GitHub 集成使用。