📚AI 编程官方教程中文版
官方教程中文版规则、安全与配置

排查安全常见问题

这页整理 Codex Security 相关常见问题。新手可以先把它理解成:Codex 用隔离环境分析代码,帮助发现、验证和修复安全风险;它能减少排查成本,但不

这页整理 Codex Security 相关常见问题。新手可以先把它理解成:Codex 用隔离环境分析代码,帮助发现、验证和修复安全风险;它能减少排查成本,但不能替代人工安全审查。

入门问题

Codex Security 是什么?

软件安全是工程里最难也最重要的问题之一。Codex Security 是一套由大模型驱动的安全分析能力,用来检查源码,并返回结构化、带优先级的漏洞发现和修复建议。

它面向开发者和安全团队,目标是帮助团队更大规模地发现并修复安全问题。

为什么它重要?

软件已经是现代业务和社会基础设施的一部分,漏洞会带来系统性风险。

Codex Security 支持以防守为先的工作流:持续识别可能的问题,在条件允许时验证问题,并提出修复方案。这样可以提升安全质量,同时减少对开发节奏的干扰。

它解决什么业务问题?

Codex Security 缩短了从“疑似问题”到“可确认、可复现问题”的路径,并提供证据和建议补丁。

相比只依赖传统扫描器,它能减轻分诊压力,并减少误报。

它怎么工作?

Codex Security 在临时、隔离的容器中运行分析,并临时克隆目标仓库。

它会执行代码级分析,并返回结构化结果,包括问题描述、文件位置、严重程度、根因和修复建议。

如果某个发现包含验证步骤,系统会在同一个沙箱中执行建议命令或测试,记录成功或失败、退出码、stdout、stderr、测试结果,以及生成的 diff 或 artifact。这些输出会作为证据附到发现里,供后续审查。

它能替代 SAST 吗?

不能。

Codex Security 是 SAST 的补充。它增加语义理解、大模型推理和自动验证能力,而现有 SAST 工具仍然提供更广覆盖的确定性检查。

功能问题

分析流水线是什么?

Codex Security 通常按阶段工作:

  1. 分析:为仓库构建 threat model。
  2. 提交扫描:审查已合并提交和仓库历史,查找可能的问题。
  3. 验证:尝试在沙箱中复现可能的漏洞,减少误报。
  4. 补丁建议:与 Codex 集成,生成可供审查后再打开 PR 的补丁。

它会进入 GitHub、Codex 和标准 review 流程,与工程师一起工作。

支持哪些语言?

Codex Security 不绑定某一种语言。

实际效果取决于模型对当前仓库语言、框架和项目结构的理解能力。

扫描完成后会得到什么?

你会得到按优先级排序的 findings,其中包含严重程度、验证状态,以及可用时的建议补丁。

findings 还可能包含崩溃输出、复现证据、调用路径上下文和相关注释。

客户代码如何隔离?

每个分析和验证任务都运行在临时 Codex 容器里,并使用本次 session 限定的工具。

artifact 会被提取出来供审查;任务完成后,容器会被销毁。

它会自动把补丁打到仓库里吗?

不会。

建议补丁只是推荐修复。用户可以审查补丁,并从 findings UI 把它作为 PR 推送到 GitHub,但 Codex Security 不会自动把改动应用到仓库。

扫描前必须能构建项目吗?

不必须。

Codex Security 可以基于仓库和提交上下文产出 findings,不需要先完成编译。

在自动验证阶段,如果有助于复现问题,它可能会尝试在容器内构建项目。环境设置细节见官方 Codex cloud environments

它如何减少误报和坏补丁?

Codex Security 使用两个阶段。

第一阶段,模型为可能的问题排序。

第二阶段,自动验证会尝试在干净容器中复现每个问题。

成功复现的问题会标记为 validated,这有助于在人工审查前减少误报。

首次扫描要多久?后续会发生什么?

首次扫描时间取决于仓库大小、构建时间,以及有多少 findings 进入验证阶段。

一些仓库可能需要数小时;更大的仓库可能需要数天。

后续扫描通常更快,因为它们主要关注新提交和增量变化。

threat model 是什么?

threat model 是仓库在扫描时使用的安全上下文。

它会把简洁的项目概览和攻击面细节组合起来,例如入口点、信任边界、认证假设和高风险组件。

更多细节见官方 Improving the threat model

threat model 怎么生成?

Codex Security 会让模型总结仓库架构和安全入口点,判断仓库类型,运行专门的提取器,并把结果合并成项目概览或 threat model artifact,用于后续扫描。

它能替代人工安全审查吗?

不能。

Codex Security 可以加速 review 并帮助排序 findings,但不能替代代码级验证、可利用性检查和人工威胁评估。

我可以编辑 threat model 吗?

可以。

Codex Security 会创建初始 threat model;随着架构、风险和业务上下文变化,你可以更新它。

编辑流程见官方 Improving the threat model

使用 threat modeling 前必须先配置扫描吗?

需要。

threat model 指引和“你如何扫描、扫描什么”相关,所以需要先配置仓库。

见官方 Codex Security setup

建议补丁包含什么?

当 finding 可以生成修复方案时,建议补丁会包含最小可执行 diff,并提供文件名和行号上下文。

补丁会直接修改我的 PR 分支吗?

不会。

工作流会生成 diff、patch file 或 suggested change,供维护者和 reviewer 审查后再应用。

验证问题

自动验证是什么?

自动验证是尝试在隔离容器中复现疑似问题的阶段。

它会记录复现成功或失败,并捕获日志、命令和相关 artifact 作为证据。

验证失败会怎样?

finding 会保持 unvalidated。

日志和报告仍会记录系统尝试了什么,方便工程师重试、继续调查或调整复现步骤。

配置安全运行环境

这页带你从 initial access 走到 reviewed findings,以及 Codex Security 中的 remediation pull

改进威胁模型

这页说明 threat model 是什么,以及编辑它如何改善 Codex Security 的 suggestions。

On this page

入门问题Codex Security 是什么?为什么它重要?它解决什么业务问题?它怎么工作?它能替代 SAST 吗?功能问题分析流水线是什么?支持哪些语言?扫描完成后会得到什么?客户代码如何隔离?它会自动把补丁打到仓库里吗?扫描前必须能构建项目吗?它如何减少误报和坏补丁?首次扫描要多久?后续会发生什么?threat model 是什么?threat model 怎么生成?它能替代人工安全审查吗?我可以编辑 threat model 吗?使用 threat modeling 前必须先配置扫描吗?建议补丁包含什么?补丁会直接修改我的 PR 分支吗?验证问题自动验证是什么?验证失败会怎样?