コンテンツにスキップ

脅威モデルを改善する

脅威モデルとは何か、また脅威モデルを編集することで Codex Security の提案を改善する方法を説明します。

脅威モデルとは

脅威モデルは、リポジトリの仕組みをまとめた短いセキュリティ概要です。Codex Security では、これを project overview として編集し、今後のスキャン、優先順位付け、レビューのスキャンコンテキストとして使用します。

Codex Security は、コードから最初の下書きを作成します。検出結果に違和感がある場合は、まずここを編集してください。

有用な脅威モデルでは、次の点を明示します。

  • エントリポイントと信頼できない入力
  • 信頼境界と認証に関する前提
  • 機密データの経路または特権アクション
  • チームが最初にレビューしたい領域

たとえば、次のように記述します。

アカウント変更用のパブリック API です。JSON リクエストとファイルアップロードを受け付けます。本人確認には内部認証サービスを使用し、内部サービス経由で請求情報の変更を書き込みます。認証チェック、アップロードの解析、サービス間の信頼境界に重点を置いてレビューします。

これにより、今後のスキャンと検出結果の優先順位付けにおいて、Codex Security がより適切な出発点を得られます。

脅威モデルを改善し、見直す

結果を改善したい場合は、まず脅威モデルを編集してください。気になる領域が検出結果に含まれていない場合や、想定していない場所で検出結果が表示される場合に活用します。脅威モデルを変更すると、今後のスキャンコンテキストも変わります。

現在の脅威モデルを Codex にコピーし、より詳しくレビューしたい領域に基づいてチャットで改善してから、更新したバージョンを Web UI に貼り戻すユーザーもいます。

編集場所

脅威モデルを確認または更新するには、Codex Security スキャン に移動してリポジトリを開き、Edit をクリックします。

関連ドキュメント