Codex Security 插件为 Codex 添加了安全审查工作流,适用于您有权评估的代码。在打开的仓库中使用它来调查代码库、审查变更集是否存在安全回归、确认可能的发现,并准备最小化的修复方案以待审查。
本页面介绍在您的 Codex 线程中运行的可安装插件。如需了解通过 Codex Web 扫描已连接 GitHub 仓库的研究预览版产品,请参阅 Codex 安全.
安装插件
选择一个选项
-
打开 Codex
从您的仓库启动 Codex:
codex -
打开插件浏览器
Enter:
/plugins -
安装 Codex Security
搜索 Codex 安全,打开它,然后选择
Install plugin. -
启动新线程
在您有权审查的仓库中启动一个新线程。
选择安全工作流
选择最能解答您问题的、范围最小的工作流。基于差异的扫描比全仓库扫描审查起来更快;深度扫描会有意消耗更多的时间和 token,以搜寻更多候选发现。
| 目标 | 技能 | 范围和输出 |
|---|---|---|
| 审查单个仓库或限定路径 | $codex-security:security-scan | 执行威胁建模、发现查找、验证、攻击路径分析,并生成 Markdown 和 HTML 报告。 |
| 运行更高召回率的审计 | $codex-security:deep-security-scan | 在验证和报告之前,使用委派的工作线程重复全仓库的发现查找。仅适用于整个仓库。 |
| 在合并前审查变更 | $codex-security:security-diff-scan | 审查拉取请求、提交、分支差异或工作树补丁,并生成基于变更代码的 Markdown 报告。 |
| 修复单个发现 | $codex-security:fix-finding | 重现或验证单个可能的发现,在需要时进行最小化修复,并检查该易受攻击的行为是否不再重现。 |
例如,要扫描仓库:
Use $codex-security:security-scan to scan this repository for security
vulnerabilities. Keep the scan grounded in code evidence, validate plausible
findings where feasible, and return the final report paths. Do not modify code.如果要改为审查当前变更:
Use $codex-security:security-diff-scan to review the current branch diff for
security regressions. Keep the review scoped to changed code and directly
supporting files. Do not modify code.审查结果并修复发现的问题
仓库扫描使用分阶段的工作流:
- 威胁建模 识别入口点、信任边界、敏感操作和风险组件。
- 发现漏洞 在请求的范围内寻找具体的从源到汇的路径或失效的控制措施。
- 验证 测试或以其他方式验证可能的发现,并记录证据或缺失的证明。
- 攻击路径分析 追踪可利用的路径,并对经受住验证的发现进行严重等级评定。
- 报告生成 将发现、受影响的位置、验证证据、修复指南和审查指令写入产物。
普通的仓库扫描或深度扫描会将结果写入 report.md and a readable
report.html 在其扫描目录中。差异扫描会生成一份重点突出的 Markdown 报告。在开始修复之前,请先审查受影响的文件、证据、假设和严重程度。
当发现的问题需要处理时,请求进行限定范围的修复:
Use $codex-security:fix-finding to fix finding [finding ID or report
reference]. Add focused regression coverage, verify legitimate behavior still
works, and show that the original issue no longer reproduces. Do not broaden
the change beyond this finding.保持安全工作处于授权且可审查的状态
仅对您拥有或经您的组织授权评估的仓库、差异和系统运行扫描。发现的问题是审查的输入,而不是合并代码或测试无关目标的指令。
- 除非您明确要求 Codex 准备修复方案,否则请将首次扫描保持为只读。
- 在批准构建、运行或复现行为的命令之前,请先审查它们,尤其是在不熟悉的仓库中。
- 在合并每个提议的补丁和验证结果之前,请务必审查。
- 在使用插件时,请保留仓库指令和审批策略。有关详细信息,请参阅 智能体审批与安全性.