OpenAI julkaisi 6. maaliskuuta Codex Securityn. Uusi työkalu kytketään GitHub-repositorioihin Codex Cloudin kautta, se rakentaa koodipohjalle oman uhkamallin, validoi löydöksiä eristetyssä ympäristössä ja ehdottaa korjauksia kehitys- ja tietoturvatiimien arvioitavaksi.
Yhtiön mukaan palvelua aletaan tuoda ChatGPT Pro-, Enterprise-, Business- ja Edu-asiakkaille Codex webin kautta, ja julkaisun yhteydessä käyttö on kuukauden ajan maksutonta.
Codex Securityn ydinajatus on erottautua perinteisistä sääntöpohjaisista tietoturvaskannereista kontekstin avulla. OpenAI:n dokumentaation mukaan työkalu rakentaa ensin repositoriokohtaisen uhkamallin eli tiiviin projektikuvauksen siitä, missä järjestelmän hyökkäyspinnat, epäluotettavat syötteet, luottamusrajat ja herkät datapolut sijaitsevat. Tätä niin sanottua project overview’ta voi myös muokata käsin, jotta skannaus vastaa paremmin oikeaa arkkitehtuuria ja liiketoimintakontekstia.
Kun skannaus on määritetty, Codex Security käy repositorya läpi uusimmista commit-muutoksista vanhempiin ja rakentaa samalla kontekstia seuraavia tarkastuksia varten. OpenAI:n mukaan ensimmäinen taustaskannaus voi kestää muutamasta tunnista useisiin päiviin riippuen repositorion koosta, build-ajasta ja siitä, kuinka paljon löydöksiä etenee validointiin. Myöhemmät tarkastukset ovat yleensä nopeampia, koska ne kohdistuvat uusiin ja inkrementaalisiin muutoksiin.
Validointi ennen korjausehdotusta
OpenAI kuvaa Codex Securityn kolmivaiheiseksi prosessiksi. Ensin palvelu etsii todennäköisiä haavoittuvuuksia, sitten se yrittää validoida ne väliaikaisessa eristetyssä ympäristössä ja lopuksi ehdottaa korjausta. Löydöksiin voidaan liittää muun muassa tiedosto- ja sijaintitiedot, vakavuusluokka, juurisyyn kuvaus sekä validaatiosta syntynyttä evidenssiä, kuten komentojen tulosteita, testituloksia ja lokitietoa. Korjausehdotuksen voi nostaa ihmisen arvioitavaksi pull requestiksi, mutta OpenAI korostaa, ettei Codex Security tee muutoksia automaattisesti suoraan koodipohjaan.
Yhtiö painottaa samalla, ettei Codex Security ole tarkoitettu korvaamaan perinteisiä SAST-työkaluja tai manuaalista tietoturvatarkastusta. Sen rooli on täydentää olemassa olevia prosesseja semanttisella analyysillä, priorisoinnilla ja automaattisella validoinnilla erityisesti tilanteissa, joissa tavallinen skanneri tuottaa paljon matalan laadun hälyjä.
Testaukset olleet lupaavia
OpenAI kertoo parantaneensa Codex Securityn tarkkuutta merkittävästi beta-vaiheen aikana. Yhtiön mukaan samojen repositoryjen toistuvissa skannauksissa tietuturvahälytykset väheni yhdessä tapauksessa 84 prosenttia, liian korkeiksi arvioitujen vakavuusluokkien määrä laski yli 90 prosenttia ja false positive -löydösten määrä yli 50 prosenttia. Viimeisten 30 päivän aikana Codex Security skannasi OpenAI:n mukaan yli 1,2 miljoonaa committia ulkoisissa beta-repoissa ja tunnisti 792 kriittistä sekä 10 561 korkean vakavuuden löydöstä.
OpenAI:n mukaan kriittisiä ongelmia löytyi alle 0,1 prosentista skannatuista commit-muutoksista. Yhtiö esittelee Codex Securityn myös avoimen lähdekoodin tukena: palvelulla on raportoitu haavoittuvuuksia muun muassa OpenSSH:lle, GnuTLS:lle, GOGS:lle, libssh:lle, PHP:lle ja Chromiumille, ja OpenAI:n mukaan 14 CVE-tunnusta on jo myönnetty. Samalla yhtiö laajentaa Codex for OSS -ohjelmaa, jossa avoimen lähdekoodin ylläpitäjille tarjotaan pääsyä muun muassa Codex Securityyn.
Codex Security on kiinnostava lisäys ja tekee tyhjäksi monet vasta-argumentit tekoälyavusteisen ohjelmistokehityksen riskeistä. OpenAI:n viesti on, että seuraavan sukupolven AppSec-työkalun pitäisi ymmärtää järjestelmän kontekstia, todentaa löydökset ennen niiden nostamista esiin ja tarjota korjausehdotuksia osana samaa työnkulkua. Koska Codex Security on vasta julkaistu, varsinainen testi nähdään vasta laajemmassa tuotantokäytössä eri kielillä, frameworkeilla ja yritysympäristöissä.