Miért nem tartalmaz SAST jelentést a Codex Security

A Codex Security nem használ hagyományos SAST (Static Application Security Testing) jelentést. Ehelyett az AI-vezérelt korlátozások és validációk segítségével találja meg a valódi sebezhetőségeket kevesebb hamis pozitívummal.

A SAST gyakran optimalizálva van az adatáramlásra, de a legnehezebb sebezhetőségek általában nem adatáramlás-problémák. A Codex Security inkább a rendszer viselkedéséből és a validációból indul ki, hogy erősebb bizonyítékokat szolgáltasson.

Az OpenAI példaként hozta fel a CVE-2024-29041 esetét, ahol egy nyitott átirányítási probléma miatt rosszindulatú URL-ek megkerülhették a közös allowlist implementációkat az Expressben.

A Codex Security a repozitórium-specifikus kontextust és a fenyegetési modellt használja fel, és magas jelentőségű ügyeket ellenőriz az elkülönített környezetben, mielőtt azokat felülvizsgálatra bocsátaná.