OpenAI Codex Security 常见问题能帮你快速判断它适合做什么、不会替你做什么,以及扫描结果为什么会带验证状态和补丁建议。它在隔离容器里分析代码,必要时会在同一沙箱里执行命令或测试来验证结果;不会自动把补丁写回仓库,扫描也不要求先构建项目。
OpenAI Codex Security FAQ 常见问题
Getting started
What is Codex Security?
Codex Security 是一个由 LLM 驱动的安全分析工具包,会检查源代码并返回结构化、按优先级排序的漏洞发现结果,同时附带建议补丁。它适合帮助开发者和安全团队大规模发现并修复安全问题。
Why does it matter?
软件是现代工业和社会的基础,漏洞会带来系统性风险。Codex Security 采用 defender-first 工作流,持续识别可能问题,在可行时进行验证,并提出修复建议,帮助团队在不明显拖慢开发的前提下提升安全性。
What business problem does Codex Security solve?
Codex Security 缩短了从“怀疑有问题”到“拿到带证据、可复现的确认结果”的路径,并附上建议补丁。与只依赖传统扫描器相比,它可以减少人工分流负担,也能降低误报。
How does Codex Security work?
Codex Security 会在一个临时的、隔离的容器中运行分析,并临时克隆目标仓库。它执行代码级分析,返回结构化发现结果,包括描述、文件和位置、严重程度、根因以及建议修复方式。
如果发现项包含验证步骤,系统会在同一个沙箱里执行建议命令或测试,记录成功或失败、退出码、stdout、stderr、测试结果,以及生成的 diff 或工件,并把这些输出作为复查证据附加上去。
Does it replace SAST?
No. Codex Security 会补充 SAST,而不是替代它。它增加了语义化的 LLM 推理和自动验证能力,现有 SAST 工具仍然负责更广泛的确定性覆盖。
Features
What is the analysis pipeline?
Codex Security 采用分阶段流水线:
- Analysis 为仓库构建 threat model。
- Commit scanning 审查已合并提交和仓库历史中的潜在问题。
- Validation 尝试在沙箱中复现高概率漏洞,以减少误报。
- Patching 与 Codex 集成,生成补丁,供审查者在创建 PR 前检查。
它会与 GitHub、Codex 和标准代码审查流程中的工程师协同工作。
What languages are supported?
Codex Security 语言无关。实际效果取决于模型对仓库所用语言和框架的推理能力。
What outputs do I get after the scan completes?
扫描完成后,你会得到按优先级排序的发现结果,包含严重程度、验证状态,以及在可用时提供的建议补丁。发现项还可能包含崩溃输出、复现证据、调用路径上下文和相关注释。
How is customer code isolated?
每个分析和验证任务都会在一个带有 session-scoped 工具的临时 Codex 容器中运行。工件会被导出供审查,任务完成后容器会销毁。
Does Codex Security auto-apply patches?
No. 建议补丁只是推荐修复方案。用户可以在 findings UI 中审查它,并把它作为 PR 推送到 GitHub,但 Codex Security 不会自动把更改应用到仓库。
Does the project need to be built for scanning?
No. Codex Security 可以仅凭仓库和提交上下文生成发现结果,不需要先执行编译步骤。在自动验证期间,如果有助于复现问题,它可能会尝试在容器内构建项目。环境配置细节请看 Codex cloud environments。
How does Codex Security reduce false positives and avoid broken patches?
Codex Security 使用两个阶段。先由模型为可能问题排序,再由自动验证在干净容器中尝试复现每个问题。能够成功复现的发现会被标记为已验证,这有助于在人工审查前减少误报。
How long do initial scans take, and what happens after that?
初次扫描时间取决于仓库大小、构建时间,以及有多少发现项进入验证阶段。对于某些仓库,扫描可能需要数小时;对于更大的仓库,可能需要数天。后续扫描通常更快,因为它们主要关注新提交和增量变更。
What is a threat model?
threat model 是仓库在扫描时使用的安全上下文。它把简要项目概览和攻击面细节组合在一起,例如入口点、信任边界、认证假设和高风险组件。更多细节见 Improving the threat model。
How is a threat model generated?
Codex Security 会提示模型总结仓库架构和安全入口点,识别仓库类型,运行专门的提取器,然后把结果合并为项目概览或 threat model 工件,供整个扫描过程使用。
Does it replace manual security review?
No. Codex Security 可以加速审查并帮助对发现结果排序,但它不能替代代码级验证、可利用性检查或人工威胁评估。
Can I edit the threat model?
Yes. Codex Security 会创建初始 threat model,你可以在架构、风险和业务背景变化时更新它。编辑流程见 Improving the threat model。
Do I need to configure a scan before using threat modeling?
Yes. threat-model 指导与“怎么扫描、扫描什么”绑定,所以你需要先配置仓库。请看 Codex Security setup。
What does the proposed patch contain?
当某个发现项可以生成修复时,建议补丁会包含一个最小的、可执行的 diff,并带有文件名和行号上下文。
Does the patch directly modify my PR branch?
No. 工作流会生成 diff、patch 文件或建议变更,供维护者和审查者在应用前检查。
Validation
What is auto-validation?
Auto-validation 是尝试在隔离容器中复现可疑问题的阶段。它会记录复现是否成功,并捕获日志、命令和相关工件作为证据。
What happens if validation fails?
如果验证失败,发现项会保持未验证状态。日志和报告仍会记录已尝试的内容,方便工程师重试、进一步排查或调整复现步骤。
常见问题
Codex Security 会自动把补丁写回仓库吗?
不会。它只生成建议补丁、diff 或 patch 文件,供维护者和审查者在应用前检查。你可以在 findings UI 中查看结果,并按流程创建 PR。
Codex Security 和 SAST 有什么区别?
Codex Security 不是替代 SAST,而是补充它。它更强调语义推理和自动验证,适合缩短从发现到确认的路径;SAST 仍然负责更广的确定性覆盖。
Codex Security 扫描一定要先构建项目吗?
不需要。它可以直接基于仓库和提交上下文进行扫描;只有在自动验证阶段,系统才可能在容器内尝试构建项目来帮助复现问题。