本页将引导您从初始访问,到在 Codex Security 中审查发现结果并创建修复 Pull Request。
请确认您已首先完成 Codex Cloud 的设置。若未设置,请参阅 Codex Cloud to get started.
1. 访问与环境
Codex Security 会扫描通过以下方式连接的 GitHub 仓库: Codex Cloud.
- 确认您的工作区已具备 Codex Security 的访问权限。
- 确认您要扫描的仓库已在 Codex Cloud 中可用。
Go to Codex 环境 并检查该仓库是否已存在环境。若没有,请在继续操作前在此处创建一个。
2. 新建安全扫描
环境创建完成后,请前往 创建安全扫描 并选择您刚刚连接的仓库。
Codex Security 会首先从最新的提交开始向后扫描仓库。它利用此机制在出现新提交时构建和刷新扫描上下文。
To configure a repository:
- 选择 GitHub 组织。
- 选择仓库。
- 选择您要扫描的分支。
- 选择环境。
- 选择 历史记录窗口。更长的窗口提供更多上下文,但回填耗时更长。
- 点击 创建.
3. 初始扫描可能需要一些时间
创建扫描后,Codex Security 会首先在选定的历史记录窗口中运行提交级别的安全检查。初始回填可能需要几个小时,特别是对于较大的仓库或较长的历史时间窗口。如果扫描结果没有立即显示,属于正常现象。请等待初始扫描完成,然后再提交工单或进行故障排查。
初始扫描设置是自动且彻底的。这可能需要几个小时。如果第一批发现结果出现延迟,请不必担心。
4. 审查扫描结果并改进威胁模型
初始扫描完成后,打开扫描并审查生成的威胁模型。初始扫描结果出现后,请更新威胁模型,使其与您的架构、信任边界和业务背景相匹配。这有助于 Codex Security 为您的团队划分问题优先级。
如果您希望更改扫描结果,可以通过更新范围、优先级和假设来编辑威胁模型。
初始扫描结果出现后,请重新审视模型,以使扫描指导与当前优先级保持一致。保持模型最新有助于 Codex Security 生成更好的建议。
有关威胁模型及其如何影响严重性和分类的更深入解释,请参阅 改进威胁模型.
5. 审查发现结果并应用补丁
初始回填完成后,请从 发现结果 view.
您可以使用两种视图:
- 推荐发现结果: 一个不断更新的仓库中最关键问题前 10 名列表
- 所有发现结果: 一个涵盖整个仓库发现的、可排序且可过滤的表格
点击发现结果以打开其详情页面,其中包含:
- 问题的简要描述
- 关键元数据,例如提交详细信息和文件路径
- 关于影响的上下文推理
- 相关的代码片段
- 可用的调用路径或数据流上下文
- 验证步骤和验证输出
您可以审查每个发现结果,并直接从发现结果详情页创建 PR。