Sécurité Codex : maintenant en aperçu de recherche

Sécurité Codex : maintenant en aperçu de recherche

Nous présentons Codex Security, notre agent de sécurité des applications. Il construit un contexte profond sur votre projet pour identifier des vulnérabilités complexes que d'autres outils ne détectent pas, mettant en avant des résultats plus fiables avec des correctifs qui améliorent significativement la sécurité de votre système tout en vous épargnant le bruit des bugs insignifiants.

Le contexte est essentiel pour évaluer les véritables risques de sécurité, mais la plupart des outils de sécurité basés sur l'IA se contentent de signaler des résultats à faible impact et des faux positifs, obligeant les équipes de sécurité à consacrer un temps considérable à la triage. Parallèlement, les agents accélèrent le développement logiciel, rendant l'examen de la sécurité un goulot d'étranglement de plus en plus critique. Codex Security répond à ces deux défis. En combinant le raisonnement agentique de nos modèles de pointe avec une validation automatisée, il fournit des résultats fiables et des correctifs exploitables, permettant aux équipes de se concentrer sur les vulnérabilités qui comptent et de livrer du code sécurisé plus rapidement.

Anciennement connu sous le nom d'Aardvark, Codex Security a débuté l'année dernière en version bêta privée avec un petit groupe de clients. Lors des premiers déploiements internes, il a mis en lumière une véritable vulnérabilité SSRF, une vulnérabilité critique d'authentification inter-locataires, et de nombreux autres problèmes que notre équipe de sécurité a corrigés en quelques heures. Les premiers déploiements avec des testeurs externes nous ont aidés à améliorer la manière dont les utilisateurs fournissent un contexte produit pertinent et à passer de l'intégration à la sécurisation de leur code. Nous avons également considérablement amélioré la qualité de nos résultats au cours de la bêta : les analyses sur les mêmes dépôts au fil du temps montrent une précision croissante, dans un cas réduisant le bruit de 84 % depuis le déploiement initial.

Nous avons réduit le taux de résultats avec une gravité surévaluée de plus de 90 %, et les taux de faux positifs sur les détections ont chuté de plus de 50 % dans tous les dépôts. Ces améliorations aident Codex Security à mieux aligner la gravité signalée avec le risque réel et à réduire le fardeau de triage inutile pour les équipes de sécurité, et nous nous attendons à ce que le rapport signal/bruit continue de s'améliorer.

À partir d'aujourd'hui, Codex Security est déployé en aperçu de recherche pour les clients ChatGPT Pro, Enterprise, Business et Edu via le web Codex avec une utilisation gratuite pendant le mois prochain.

Fonctionnement de Codex Security

Codex Security s'appuie sur les modèles de pointe d'OpenAI et l'agent Codex. Il peut réduire le bruit et accélérer la remédiation en ancrant la découverte, la validation et le patching des vulnérabilités dans un contexte spécifique au système.

• Construire un contexte système et créer un modèle de menace éditable : Après avoir configuré une analyse, il analyse votre dépôt pour comprendre la structure pertinente à la sécurité du système et génère un modèle de menace spécifique au projet qui peut capturer ce que le système fait, ce qu'il fait confiance et où il est le plus exposé. Les modèles de menace peuvent être modifiés pour garder l'agent aligné avec votre équipe.

• Prioriser et valider les problèmes : En utilisant le modèle de menace comme contexte, il recherche des vulnérabilités et catégorise les résultats en fonction de l'impact réel attendu dans votre système. Lorsque cela est possible, il teste les résultats dans des environnements de validation isolés pour distinguer le signal du bruit. Les utilisateurs peuvent voir cette analyse dans les résultats validés. Lorsque Codex Security est configuré avec un environnement adapté à votre projet, il peut valider les problèmes potentiels directement dans le contexte du système en fonctionnement. Cette validation plus approfondie peut réduire encore plus les faux positifs et permettre la création de preuves de concept fonctionnelles, fournissant aux équipes de sécurité des preuves plus solides et un chemin plus clair vers la remédiation.

• Corriger les problèmes avec un contexte système complet : Enfin, Codex Security propose des correctifs pour les problèmes découverts qui s'alignent avec l'intention du système et le comportement environnant. Cela permet des correctifs qui peuvent améliorer la sécurité tout en minimisant les régressions, les rendant plus sûrs à examiner et à intégrer. Les utilisateurs peuvent filtrer les résultats pour se concentrer sur ce qui est le plus important pour leur équipe et a le plus grand impact sur la sécurité.

Codex Security peut également apprendre de vos retours au fil du temps pour améliorer la qualité de ses résultats. Lorsque vous ajustez la criticité d'un résultat, il peut utiliser ce retour pour affiner le modèle de menace et améliorer la précision lors des exécutions suivantes, apprenant ce qui compte dans votre architecture et votre posture de risque.

Il est conçu pour fonctionner à grande échelle et faire ressortir les résultats les plus fiables avec des correctifs faciles à accepter. Au cours des 30 derniers jours, Codex Security a analysé plus de 1,2 million de commits dans des dépôts externes de notre cohorte bêta, identifiant 792 résultats critiques et 10 561 résultats de haute gravité. Les problèmes critiques sont apparus dans moins de 0,1 % des commits analysés, montrant que le système peut identifier des problèmes ayant un impact sur la sécurité dans de grands volumes de code tout en minimisant le bruit pour les examinateurs.