コンテンツにスキップ

Codex Security cloud のセットアップ

このページでは、初回アクセスから、Codex Security cloud でレビュー済みの検出結果と修正プルリクエストに至るまでの手順を説明します。

まず、Codex cloud のセットアップが完了していることを確認してください。まだの場合は、Codex cloud を参照して開始してください。

1. アクセスと環境

Codex Security cloud は、Codex cloud を通じて接続された GitHub リポジトリをスキャンします。

  • ワークスペースが Codex Security cloud にアクセスできることを確認します。
  • スキャンするリポジトリが Codex cloud で利用できることを確認します。

Codex 環境 に移動し、リポジトリにすでに環境があるかどうかを確認します。ない場合は、続行する前にそこで作成してください。

Codex 環境

2. 新しいセキュリティスキャン

環境を作成したら、セキュリティスキャンを作成 に移動し、先ほど接続したリポジトリを選択します。

Codex Security は、リポジトリを最新のコミットから過去にさかのぼる順序でスキャンします。これにより、新しいコミットが追加されたときにスキャンコンテキストを構築および更新します。

リポジトリを設定するには、次の手順を実行します。

  1. GitHub 組織を選択します。
  2. リポジトリを選択します。
  3. スキャンするブランチを選択します。
  4. 環境を選択します。
  5. 履歴ウィンドウを選択します。期間が長いほど多くのコンテキストを提供しますが、バックフィルには時間がかかります。
  6. 作成をクリックします。
セキュリティスキャンを作成

3. 初回スキャンには時間がかかる場合があります

スキャンを作成すると、Codex Security はまず、選択した履歴ウィンドウ全体に対してコミット単位のセキュリティパスを実行します。 初回のバックフィルには数時間かかる場合があります。特に、リポジトリの規模が大きい場合や、ウィンドウが長い場合は時間がかかります。 検出結果がすぐに表示されなくても、これは想定される動作です。チケットを作成したりトラブルシューティングを行ったりする前に、初回スキャンが完了するまで待ってください。

初回スキャンのセットアップは自動的かつ詳細に行われます。完了まで数時間かかる場合があります。最初の検出結果が遅れても、心配しないでください。

4. スキャンをレビューして脅威モデルを改善する

Codex Security の脅威モデルエディター

初回スキャンが完了したら、スキャンを開いて生成された脅威モデルをレビューします。 初回の検出結果が表示されたら、脅威モデルを更新して、アーキテクチャ、信頼境界、ビジネスコンテキストに一致させます。 これにより、Codex Security がチームにとっての問題の優先順位を適切に設定できるようになります。

スキャン結果を変更したい場合は、更新したスコープ、優先度、前提条件を使用して脅威モデルを編集できます。

初回の検出結果が表示されたら、モデルを再確認して、スキャンのガイダンスを現在の優先事項に合わせてください。 モデルを最新の状態に保つことで、Codex Security がより適切な提案を生成できるようになります。

脅威モデルと、それが重要度およびトリアージに与える影響について詳しくは、脅威モデルの改善 を参照してください。

5. 検出結果をレビューしてパッチを適用する

初回のバックフィルが完了したら、検出結果ビューで検出結果をレビューします。

次の 2 つのビューを使用できます。

  • 推奨される検出結果: リポジトリ内の最も重大な問題を上位 10 件まで表示する、継続的に更新されるリスト
  • すべての検出結果: リポジトリ全体の検出結果を並べ替えたり、フィルタリングしたりできるテーブル

推奨される検出結果ビュー

検出結果をクリックすると詳細ページが開き、次の情報が表示されます。

  • 問題の簡潔な説明
  • コミットの詳細やファイルパスなどの主要なメタデータ
  • 影響に関するコンテキストを踏まえた推論
  • 関連するコード抜粋
  • 利用可能な場合は、呼び出しパスまたはデータフローのコンテキスト
  • 検証手順と検証出力

各検出結果をレビューし、検出結果の詳細ページから直接 PR を作成できます。

関連ドキュメント