Codex Security が SAST レポートを含まない理由

Codex Security は、最も困難な脆弱性は単純なデータフロー追跡ではなく、誤ったセキュリティの仮定から生じることが多いため、意図的に静的アプリケーションセキュリティテスト（SAST）レポートから分析を開始することを避けています。SAST モデルは、特定のレンダリングコンテキストや後続の変換を考慮した場合、消毒器のような謳われている防御が真に十分であるかどうかを確認するのが困難です。Codex Security は代わりに、リポジトリのアーキテクチャと意図の分析から開始し、変換チェーン全体を推論することで発見事項を検証します。これには、マイクロファジングや z3 のようなソルバーを用いた形式化が含まれます。SAST レポートから開始すると、焦点の過度な絞り込み、解消が難しい暗黙の仮定の導入、およびエージェント自身の分析貢献の不明瞭化を招く可能性があります。その目的は、単にチェックの存在を確認するだけでなく、根本的な不変条件が保持されているかどうかを証明することであり、純粋なソース・トゥ・シンク分析が見逃す操作順序の誤りや状態・不変条件の問題といった複雑な問題に焦点を当てています。

(出典：OpenAI)