Codex Security cloud に関するよくある質問¶
この FAQ では Codex Security cloud について説明します。Codex タスクで実行するローカルスキャンとワークフローについては、Codex Security プラグインのクイックスタートを参照してください。
{/* vale Microsoft.Auto = NO /} {/ vale Vale.Spelling = NO */}
はじめに¶
Codex Security とは何ですか?¶
ソフトウェアセキュリティは、エンジニアリングにおいて最も難しく、重要な問題の 1 つであり続けています。Codex Security は、LLM を利用したセキュリティ分析ツールキットです。ソースコードを検査し、提案パッチ付きの、構造化され、優先順位付けされた脆弱性の検出結果を返します。開発者やセキュリティチームが大規模にセキュリティ問題を発見し、修正できるよう支援します。
なぜ重要なのですか?¶
ソフトウェアは現代の産業や社会の基盤であり、脆弱性はシステミックリスクを生み出します。Codex Security は、潜在的な問題を継続的に特定し、可能な場合は検証し、修正を提案することで、ディフェンダーファーストのワークフローを支援します。これにより、チームは開発の速度を落とさずにセキュリティを向上させられます。
Codex Security はどのようなビジネス上の問題を解決しますか?¶
Codex Security は、疑わしい問題から、証拠と提案パッチを伴う確認済みで再現可能な検出結果に至るまでの道のりを短縮します。これにより、従来のスキャナーだけを使用する場合と比べて、トリアージの負荷と誤検知を減らせます。
Codex Security はどのように動作しますか?¶
Codex Security は一時的で分離されたコンテナ内で分析を実行し、対象リポジトリを一時的にクローンします。コードレベルの分析を実行し、説明、ファイルと位置、重要度、根本原因、推奨される修正を含む構造化された検出結果を返します。
検証手順を含む検出結果については、システムが同じサンドボックス内で提案されたコマンドやテストを実行し、成功または失敗、終了コード、stdout、stderr、テスト結果、生成された差分やアーティファクトを記録します。その出力はレビュー用の証拠として添付されます。
SAST に取って代わるものですか?¶
いいえ。Codex Security は SAST を補完します。意味的な LLM ベースの推論と自動検証を追加する一方で、既存の SAST ツールは広範で決定論的なカバレッジを引き続き提供します。
機能¶
分析パイプラインとは何ですか?¶
Codex Security は、段階的なパイプラインに従います。
- 分析では、リポジトリの脅威モデルを構築します。
- コミットスキャンでは、マージ済みのコミットとリポジトリの履歴を調査し、潜在的な問題を探します。
- 検証では、誤検知を減らすため、サンドボックス内で潜在的な脆弱性の再現を試みます。
- パッチ適用では、Codex と連携してパッチを提案します。レビュー担当者は PR を作成する前にそのパッチを確認できます。
GitHub、Codex、標準的なレビューワークフローで、エンジニアと連携して動作します。
どの言語がサポートされていますか?¶
Codex Security は言語に依存しません。実際の性能は、リポジトリで使用されている言語やフレームワークに対するモデルの推論能力に左右されます。
スキャン完了後にどのような出力を得られますか?¶
重要度、検証ステータス、利用可能な場合は提案パッチを含む、優先順位付けされた検出結果を得られます。検出結果には、クラッシュ出力、再現の証拠、呼び出しパスのコンテキスト、関連する注釈が含まれる場合もあります。
顧客コードはどのように分離されますか?¶
各分析ジョブと検証ジョブは、セッションスコープのツールを備えた一時的な Codex コンテナ内で実行されます。アーティファクトはレビュー用に抽出され、ジョブ完了後にコンテナは破棄されます。
Codex Security はパッチを自動適用しますか?¶
いいえ。提案パッチは推奨される修正です。ユーザーはそれをレビューし、検出結果の UI から GitHub に PR としてプッシュできますが、Codex Security がリポジトリに変更を自動適用することはありません。
スキャンするにはプロジェクトをビルドする必要がありますか?¶
いいえ。Codex Security は、コンパイル手順なしで、リポジトリとコミットのコンテキストから検出結果を生成できます。自動検証中に、問題の再現に役立つ場合は、コンテナ内でプロジェクトのビルドを試みることがあります。環境設定の詳細については、Codex cloud 環境を参照してください。
Codex Security はどのように誤検知を減らし、壊れたパッチを回避しますか?¶
Codex Security は 2 段階で処理します。まず、モデルが潜在的な問題に優先順位を付けます。次に、自動検証によって、クリーンなコンテナ内で各問題の再現を試みます。正常に再現された検出結果には検証済みのマークが付けられるため、人によるレビューの前に誤検知を減らすのに役立ちます。
初回スキャンにはどのくらい時間がかかりますか。その後はどうなりますか?¶
初回スキャンの所要時間は、リポジトリのサイズ、ビルド時間、検証に進む検出結果の数によって異なります。リポジトリによっては、スキャンに数時間かかることがあります。大規模なリポジトリでは、数日かかる場合があります。その後のスキャンは通常、新しいコミットと差分変更に重点を置くため、より高速です。
脅威モデルとは何ですか?¶
脅威モデルは、リポジトリに対するスキャン時のセキュリティコンテキストです。簡潔なプロジェクト概要に、エントリポイント、信頼境界、認証に関する前提、リスクの高いコンポーネントなどの攻撃対象領域の詳細を組み合わせたものです。詳しくは、脅威モデルの改善を参照してください。
脅威モデルはどのように生成されますか?¶
Codex Security は、リポジトリのアーキテクチャとセキュリティエントリポイントを要約し、リポジトリの種類を分類し、専門の抽出器を実行して、その結果をプロジェクト概要または脅威モデルのアーティファクトに統合するようモデルに指示します。このアーティファクトはスキャン全体で使用されます。
手動のセキュリティレビューに取って代わるものですか?¶
いいえ。Codex Security はレビューを高速化し、検出結果の優先順位付けを支援しますが、コードレベルの検証、悪用可能性の確認、人による脅威評価に取って代わるものではありません。
脅威モデルを編集できますか?¶
はい。Codex Security は初期脅威モデルを作成します。アーキテクチャ、リスク、ビジネスコンテキストが変化した場合は、更新できます。編集ワークフローについては、脅威モデルの改善を参照してください。
脅威モデリングを使用する前にスキャンを設定する必要がありますか?¶
はい。脅威モデルに関するガイダンスは、何をどのようにスキャンするかに関連付けられているため、まずリポジトリを設定する必要があります。Codex Security の設定を参照してください。
提案パッチには何が含まれますか?¶
提案パッチには、検出結果に対する修正を生成できる場合、ファイル名と行のコンテキストを含む、最小限で実行可能な差分が含まれます。
パッチによって PR ブランチが直接変更されますか?¶
いいえ。このワークフローでは、メンテナーとレビュー担当者が適用前に確認できるよう、差分、パッチファイル、または提案された変更を生成します。
検証¶
自動検証とは何ですか?¶
自動検証は、分離されたコンテナ内で疑わしい問題の再現を試みるフェーズです。再現に成功したか失敗したかを記録し、ログ、コマンド、関連アーティファクトを証拠として取得します。
検証に失敗した場合はどうなりますか?¶
検出結果は未検証のまま残ります。ログとレポートには試行した内容が引き続き記録されるため、エンジニアは再試行したり、さらに調査したり、再現手順を調整したりできます。
{/* vale Microsoft.Auto = YES /} {/ vale Vale.Spelling = YES */}