脅威モデルを改善する¶
脅威モデルとは何か、また脅威モデルを編集することで Codex Security の提案を改善する方法を説明します。
脅威モデルとは¶
脅威モデルは、リポジトリの仕組みをまとめた短いセキュリティ概要です。Codex Security では、これを project overview として編集し、今後のスキャン、優先順位付け、レビューのスキャンコンテキストとして使用します。
Codex Security は、コードから最初の下書きを作成します。検出結果に違和感がある場合は、まずここを編集してください。
有用な脅威モデルでは、次の点を明示します。
- エントリポイントと信頼できない入力
- 信頼境界と認証に関する前提
- 機密データの経路または特権アクション
- チームが最初にレビューしたい領域
たとえば、次のように記述します。
アカウント変更用のパブリック API です。JSON リクエストとファイルアップロードを受け付けます。本人確認には内部認証サービスを使用し、内部サービス経由で請求情報の変更を書き込みます。認証チェック、アップロードの解析、サービス間の信頼境界に重点を置いてレビューします。
これにより、今後のスキャンと検出結果の優先順位付けにおいて、Codex Security がより適切な出発点を得られます。
脅威モデルを改善し、見直す¶
結果を改善したい場合は、まず脅威モデルを編集してください。気になる領域が検出結果に含まれていない場合や、想定していない場所で検出結果が表示される場合に活用します。脅威モデルを変更すると、今後のスキャンコンテキストも変わります。
現在の脅威モデルを Codex にコピーし、より詳しくレビューしたい領域に基づいてチャットで改善してから、更新したバージョンを Web UI に貼り戻すユーザーもいます。
編集場所¶
脅威モデルを確認または更新するには、Codex Security スキャン に移動してリポジトリを開き、Edit をクリックします。
関連ドキュメント¶
- Codex Security のクラウド設定 では、リポジトリの設定と検出結果のレビューについて説明します。
- Codex Security では、製品の概要を説明します。
- Codex Security のクラウド FAQ では、クラウドに関するよくある質問を取り上げます。