OpenAI Codex Security 的设置流程，适合已经完成 Codex Cloud 接入、想开始扫描 GitHub 仓库并查看 findings 的用户。先确认 workspace 有权限、仓库已在 Codex Cloud 可用，并在 Codex environments 里为仓库创建 environment；随后新建 security scan，初始回填可能需要几个小时，完成后再检查 threat model 和 findings。

OpenAI Codex Security 扫描设置 #

这页解决的是：OpenAI Codex Security 怎么开始扫描仓库、为什么刚创建后没有结果、以及怎么从 findings 进入修复 PR。

1. 访问权限和环境 #

Codex Security 会扫描通过 Codex Cloud 连接的 GitHub repositories。

开始前先确认两件事：

• 你的 workspace 有 Codex Security 访问权限。
• 你要扫描的 repository 已经在 Codex Cloud 中可用。

然后前往 Codex environments 检查这个 repository 是否已经有 environment。
如果没有，先在这里创建一个，再继续后面的扫描设置。

Open environments

2. 新建 security scan #

environment 建好后，进入 Create a security scan，选择刚连接好的 repository。

Create a security scan

Codex Security 会先从最新 commit 开始，向更早的历史回扫。这样做是为了在新 commit 持续进入时，构建并刷新扫描上下文。

配置 repository 时按下面顺序选择：

1. 选择 GitHub organization。
2. 选择 repository。
3. 选择要扫描的 branch。
4. 选择 environment。
5. 选择 history window。窗口越长，上下文越完整，但 backfill 用时也越久。
6. 点击 Create。

3. 初始扫描为什么要等很久 #

创建 scan 之后，Codex Security 会先对所选 history window 执行一次 commit 级别的 security pass。
这个初始 backfill 可能要几个小时，尤其是仓库较大或 history window 较长时。

如果一开始看不到 findings，这是正常现象。
建议等初始扫描完成后，再去开 ticket 或排查问题。

4. Review scans 并更新 threat model #

初始扫描结束后，打开对应 scan，先看系统生成的 threat model。

Review scans

等初始 findings 出现后，建议更新 threat model，使它更贴近你的架构、trust boundaries 和业务上下文。
这样 Codex Security 才能更好地为团队排序问题优先级。

如果你希望 scan 结果发生变化，可以根据新的 scope、priorities 和 assumptions 编辑 threat model。
保持 threat model 和当前优先级一致，能让后续建议更准确。

如果你想进一步理解 threat model 如何影响 criticality 和 triage，可以查看 Improving the threat model。

5. Review findings 并修复 #

初始 backfill 完成后，去 Findings 视图查看结果。

Open findings

你可以使用两种视图：

• Recommended Findings：一个持续变化的 top 10 列表，显示仓库里最关键的问题
• All Findings：可排序、可筛选的表格，展示整个仓库的 findings

点击某个 finding，可以打开详情页，里面通常包含：

• 简明的问题描述
• 关键元数据，例如 commit 细节和文件路径
• 关于影响范围的上下文推理
• 相关代码片段
• 在可用时提供的 call-path 或 data-flow 上下文
• 验证步骤和验证输出

你可以直接在 finding 详情页查看问题，并创建 PR。

Review findings and create a PR

相关文档 #

• Codex Security 说明产品概览。
• FAQ 覆盖常见问题。
• Improving the threat model 解释如何改进扫描上下文和问题排序。

常见问题 #

OpenAI Codex Security 刚创建后为什么没有 findings #

初始 backfill 会先跑所选 history window 的 commit 级别安全扫描，可能要几个小时。仓库越大、窗口越长，等待时间越久。等初始扫描完成后再查看 findings。

OpenAI Codex Security 需要先配置什么 #

需要先完成 Codex Cloud 设置，确认 workspace 有 Codex Security 访问权限，并且要扫描的 GitHub repository 已经可用。然后还要在 Codex environments 里为该 repository 创建 environment。

OpenAI Codex Security 怎么提高 findings 排序准确度 #

在初始 findings 出现后，更新 threat model，让它匹配你的架构、trust boundaries 和业务上下文。这样 Codex Security 更容易把关键问题排到前面。