セキュリティ強化を提案する¶
$codex-security:propose-security-hardening を使用して、セキュリティの証拠の集合を構造的またはアーキテクチャ上の強化オプションに変換します。このワークフローでは、完了した Codex Security スキャンを分析することも、提供された検出結果、開示レポート、インシデントレビュー、評価ドキュメント、ソースコードから開始することもできます。
結果は設計ポートフォリオであり、パッチではありません。また、脆弱性が修正されることを証明するものでもありません。Codex がリポジトリを変更するのは、オプションを選択し、その変更を行うよう明示的に依頼した後だけです。
証拠を準備する¶
次の情報をワークフローに提供します。
- スキャンディレクトリ、または検出結果とレポートの明示的な集合。
- 対象のソースツリーと、利用可能な場合は関連するリビジョンまたはスナップショット。
- 検出結果を裏付ける PoC、トレース、インシデントの証拠、または評価資料。
- パフォーマンス、メモリ、互換性、信頼性、運用、納期、変更範囲に関する制約。
このワークフローでは、証拠を使用して、繰り返し破られている不変条件、分散した制御、特権的なチョークポイント、弱い分離境界、繰り返し現れる修正パターンを特定します。また、アーキテクチャの変更よりも局所的な修正のほうが適切であると結論付けることもあります。
ワークフローを実行する¶
次のようなプロンプトを送信します。
Use $codex-security:propose-security-hardening to analyze [scan directory or finding paths] against [source tree and revision]. Develop evidence-backed structural hardening options with engineering tradeoffs, before-and-after diagrams, a migration plan, and an implementation handoff. Do not modify the repository.
ポートフォリオをレビューする¶
有用なポートフォリオには、次の内容が含まれている必要があります。
- 提案する各変更を、具体的な検出結果、ソース、脅威モデルの証拠に結び付ける。
- 現在の設計と、新しい設計で維持すべきセキュリティ不変条件を説明する。
- 残存リスク、パフォーマンス、信頼性、運用、互換性、移行コストなど、異なるオプションを比較する。
- 証拠によって裏付けられる場合にのみ、明示的な前提条件と未解決の疑問を添えてオプションを推奨する。
- ロールアウト、検証、ロールバック、実装に関するガイダンスを含める。
- 観測された事実、推論、提案する設計特性を分ける。
オプションを選択する前に、証拠とトレードオフをレビューしてください。アーキテクチャ図や設計に関する推奨事項は、元の検出結果や実装した修正の検証に代わるものではありません。
スキャンから強化ガイダンスを使用する¶
標準スキャン、詳細スキャン、変更スキャンに報告対象の検出結果がある場合、詳細な脆弱性レポートの準備が完了した後に、Codex はこのワークフローを 1 回実行します。ポートフォリオを hardening/hardening.md に、構造化された分析を hardening/hardening.json に、補足的な提案または図を hardening/ 配下に書き込みます。スキャンでは、report.md からポートフォリオにリンクします。
これらのリンクを引き続き使用できるように、スキャンディレクトリ全体をまとめて保持してください。ポートフォリオの作成に使用された個々のレポートをレビューするには、脆弱性レポートを作成するを参照してください。