2026 年 3 月 16 日 产品安全 为什么 Codex 安全性不包括 SAST 报告分享 几十年来,静态应用程序安全测试 (SAST) 一直是安全团队扩展代码审查的最有效方法之一。
但当我们构建 Codex Security 时,我们做出了深思熟虑的设计选择:我们并不是从导入静态分析报告并要求代理对其进行分类开始的。
我们设计的系统是从存储库本身(它的架构、信任边界和预期行为)开始的,并在要求人们花时间处理它之前验证它所发现的内容。
原因很简单:最困难的漏洞通常不是数据流问题。
当代码似乎强制执行安全检查,但该检查实际上并不能保证系统所依赖的属性时,就会发生这种情况。
这是一个优雅的模型,并且涵盖了许多真正的错误。
来源:OpenAI博客
