改进威胁模型
这页说明 threat model 是什么,以及编辑它如何改善 Codex Security 的 suggestions。
这页说明 threat model 是什么,以及编辑它如何改善 Codex Security 的 suggestions。
threat model 是什么
threat model 是一段简短 security summary,说明你的 repository 如何工作。
在 Codex Security 中,你会把它作为 project overview 编辑;system 会把它作为未来 scans、prioritization 和 review 的 scan context。
Codex Security 会先根据 code 创建 first draft。
如果 findings 看起来不准,threat model 是第一个应该编辑的地方。
一个有用的 threat model 会指出:
- entry points 和 untrusted inputs。
- trust boundaries 和 auth assumptions。
- sensitive data paths 或 privileged actions。
- team 希望优先 review 的 areas。
示例:
Public API for account changes. Accepts JSON requests and file uploads. Uses an internal auth service for identity checks and writes billing changes through an internal service. Focus review on auth checks, upload parsing, and service-to-service trust boundaries.
这会给 Codex Security 一个更好的起点,用于 future scans 和 finding prioritization。
改进和复查 threat model
如果想改善 results,先编辑 threat model。
当 findings 漏掉你关心的 areas,或出现在你不预期的位置时,就使用它。
threat model 会改变 future scan context。
有些 users 会把 current threat model 复制到 Codex 中,围绕想更仔细 review 的 areas 对话优化,然后把更新后的版本粘回 web UI。
在哪里编辑
要 review 或 update threat model,打开 Codex Security scans,进入 repository,然后点击 Edit。
相关文档
- Codex Security setup:repository setup 和 findings review。
- Codex Security:product overview。
- FAQ:common questions。