Esta semana, OpenAI presentó Codex Security. Codex Security es una nueva herramienta del asistente de programación Codex que puede ayudar a los desarrolladores a encontrar y corregir vulnerabilidades del código. OpenAI desarrolló Aardvark, un agente de investigación de seguridad que comenzó a probar con un pequeño grupo de clientes el año pasado y lo convirtió en Codex Security. Según OpenAI: el programa beta elimina los falsos positivos de Code Security reducir en más del 50 por ciento fue solidario.
Hace unas dos semanas, Anthropic también lanzó un producto similar a Claude Code Security. Capaz de analizar la base del código de una aplicación, Claude Code Security puede identificar vulnerabilidades y recomendar soluciones. En este sentido, cabe señalar que Codex Security funciona de forma similar. Según OpenAI: repositorios de código disponibles públicamente de Codex Security durante las pruebas. desde 10 mil 500 aproximadamente, incluidos muchos problemas de alta gravedad 800 hallazgos críticos detectado.
¿Cómo funciona la seguridad del Codex?
Los desarrolladores pueden activar la nueva herramienta de OpenAI otorgando acceso al repositorio de código que desean escanear. Según OpenAI; Codex Security crea una copia temporal del repositorio en un contenedor aislado. A continuación, la herramienta examina los archivos de código. Cabe señalar que esto puede tardar algunos días. El análisis de Codex Security crea un documento de OpenAI. Este documento, llamado modelo de amenazas, aparece como una larga descripción en lenguaje natural de cómo funciona un programa y dónde puede haber vulnerabilidades.
El modelo de amenaza de una aplicación contiene información sobre los elementos de la interfaz que permiten a los usuarios finales cargar datos. Vale la pena señalar que estos módulos son particularmente vulnerables a los ciberataques. Los desarrolladores pueden personalizar el modelo de amenaza si es necesario. En este contexto, los usuarios pueden agregar más detalles sobre un componente de la aplicación particularmente sensible al que Codex Security debería priorizar.
Codex Security utiliza el modelo de amenaza para guiar los análisis de vulnerabilidades. Al probar las fallas que encuentra en una zona de pruebas, el modelo determina si pueden ser explotadas por piratas informáticos. La herramienta filtra los falsos positivos y clasifica las vulnerabilidades según su gravedad. Como precaución adicional, la herramienta guarda registros sobre defectos que no pasaron la prueba del entorno virtual. Los desarrolladores pueden utilizar estos registros para buscar vulnerabilidades que puedan haber sido etiquetadas como falsos positivos.
Cabe señalar que Codex Security crea una recomendación de solución para cada vulnerabilidad que encuentra. La sugerencia incluye el código y una explicación en lenguaje natural necesarios para solucionar el problema. Después de revisar el código propuesto, los desarrolladores pueden ponerlo en producción con solo hacer clic en un botón.
Codex Security está disponible como una vista previa de la investigación para clientes empresariales, empresariales y educativos. Los clientes pueden utilizar la herramienta de forma gratuita durante el primer mes.