Codex Security プラグインのクイックスタート¶
Codex Security は、Codex 用のセキュリティレビュー プラグインです。コードをスキャンして脆弱性を検出し、もっともらしい検出結果を検証したうえで、レビュー可能なワークスペースに証拠と修正ガイダンスを提示します。本番環境に到達する前に、自分が所有しているコード、または評価する権限を持つコードのセキュリティ問題を見つけるために使用してください。
このクイックスタートでは、Codex でローカルリポジトリを通常の読み取り専用スキャンにかける、推奨される最初の実行方法を説明します。
このページでは、ローカルの Codex チャットで実行するプラグインについて説明します。Codex cloud で接続済みの GitHub リポジトリをスキャンする方法については、Codex Security cloud のセットアップを参照してください。
プラグインをインストールする¶
- 評価するリポジトリを、ChatGPT デスクトップアプリの Codex で開きます。
- Plugins に移動して Codex Security を検索するか、以下のボタンを選択します。
- そのリポジトリ用の Codex で新しいチャットを開始します(すでに開いているチャットは続行しないでください)。
最初のスキャンを実行する¶
最高のスキャン品質を得るには、gpt-5.6を、highまたはxhighの推論 effort で使用してください。
- 通常のスキャンを依頼します
新しいチャットで次のプロンプトを送信します。
- セットアップを確認します
Codex は開始前にセットアップワークスペースを開きます。最初の実行では、次の設定を使用します。
- Scan type:
Codebase - Deep scan: オフ
- Scan area:
Entire codebase - Threat model scoping guidance: 優先すべき具体的な攻撃ベクトルまたはアプリケーション領域がすでにわかっている場合を除き、空欄のままにします。
Codebase、Current branch、Last commit が、スキャン対象として意図したリポジトリを示していることを確認します。その後、Start scan を選択します。
- スキャンが完了するまで待ちます
スキャンには時間がかかる場合があります。ワークスペースに完了が表示されるまで、スキャンを実行したままにしてください。Codex が設定上の制限を特定した場合は、設定の更新を許可する前に、その制限の正確な内容と提案された変更を確認してください。
- 結果を確認します
UI を使用して検出結果を参照するか、report.mdを完全なスキャンディレクトリへの入り口として開きます。
スキャンで作成されるもの¶
完了したスキャンでは、検出結果ワークスペースが開きます。これを使用して、生のアーティファクトを調べずに検出結果とカバレッジを確認できます。スキャンでは、以下のファイルも作成されます。
report.md:スキャン結果を読み取るための主要な入り口です。findings/<slug>/:報告対象となる各検出結果について、詳細な脆弱性レポートが 1 件ずつ含まれます。利用可能な場合は、裏付けとなる proof-of-concept ファイルも含まれます。hardening/:構造的なハードニングのポートフォリオが含まれます。スキャンで報告対象の検出結果がある場合は、裏付けとなる提案や図も含まれます。scan-manifest.json、findings.json、coverage.jsonに含まれる構造化されたスキャンデータ:自動化やインテグレーションに使用します。通常、これらのファイルを自分で開く必要はありません。
結果を共有またはアーカイブする際は、スキャンディレクトリ全体をまとめて保持してください。そうすることで、report.mdからのリンクが引き続き機能します。
次のワークフローを選択する¶
- デフォルトのワークフローでリポジトリまたは 1 つのフォルダーをスキャンする場合は、標準スキャンまたはスコープ指定スキャンを実行する。
- より包括的なスキャンが必要で、完了まで長く待てる場合は、ディープスキャンを実行する。
- 対象がプルリクエスト、コミット、ブランチ範囲、または作業ツリーのパッチの場合は、コード変更をレビューする。
- 既存のセキュリティ検出結果をレビューする場合は、バックログをトリアージする。
- 修正のために 1 件の検出結果を受け入れた後は、検出結果を修正して検証する。
- JSON、CSV、SARIF、承認が必要な Linear、GitHub、Jira の issue、または非公開の GitHub Security Advisory を必要とする場合は、検出結果をエクスポートまたは追跡する。
- 提供された検出結果、開示メモ、ソース、PoC を洗練された自己完結型レポートにまとめたい場合は、脆弱性レポートを作成する。
- スキャン結果またはその他のセキュリティ証拠に基づく構造的またはアーキテクチャ上の選択肢を提案したい場合は、セキュリティハードニングを提案する。