ai threat modeling action
v1.3.4
? Você pode usar esta ação do GitHub para gerar conteúdo com destaque de IA para modelagem de ameaças e revisão de segurança. Ele usa modelagem xvnpw/ai-threat abaixo.
️ Este é um projeto experimental
Recursos suportados:
| Recurso | Descrição |
|---|---|
| Requisitos de segurança e privacidade de alto nível | A ação terá a descrição do projeto e usará o LLM para gerar requisitos de alto nível em relação à segurança e privacidade |
| Modelo de arquitetura de ameaças | A ação exigirá a descrição da arquitetura e usará o LLM para gerar um modelo de ameaça para ela |
| Critérios de aceitação de segurança para história de usuário | A ação terá uma história de usuário específica e gerará critérios de aceitação relacionados à segurança |
| Revisão do arquivo de entrada | A ação levará o arquivo de entrada (por exemplo, descrição da arquitetura) e será revisado usando LLM |
Use as versões abaixo para modelos específicos:
| Modelo | Versão | Observação |
|---|---|---|
| OpenAI GPT-3.5, Antrópico Claude 2 | v1.2.6.1 | |
| OpenAI GPT-4 | Mais recente | |
| Cláudio 3 | Mais recente |
| Modelo | Entrada | Saída |
|---|---|---|
| OpenAI GPT-3.5 | PROJETO.md | PROJECT_SECURITY.md ou como solicitação pull |
| Claude antrópico 2 | PROJETO.md | PROJECT_SECURITY.md ou como solicitação pull |
| OpenAI GPT-4 | PROJETO.md | PROJECT_SECURITY.md ou como solicitação pull |
| Antrópico Claude 3 Opus | PROJETO.md | PROJECT_SECURITY.md ou como solicitação pull |
| Modelo | Entrada | Saída |
|---|---|---|
| OpenAI GPT-3.5 | ARQUITETURA.md | ARCHITECTURE_SECURITY.md |
| Claude antrópico 2 | ARQUITETURA.md | ARCHITECTURE_SECURITY.md |
| OpenAI GPT-4 | ARQUITETURA.md | ARCHITECTURE_SECURITY.md |
| Antrópico Claude 3 Opus | ARQUITETURA.md | ARCHITECTURE_SECURITY.md |
| Modelo | Entrada | Saída |
|---|---|---|
| OpenAI GPT-3.5 | 0001_STORE_DIET_INTRODUCTIONS.md ou problema | 0001_STORE_DIET_INTRODUCTIONS_SECURITY.md ou como comentário do problema |
| Claude antrópico 2 | 0001_STORE_DIET_INTRODUCTIONS.md ou problema | 0001_STORE_DIET_INTRODUCTIONS_SECURITY.md ou como comentário do problema |
| OpenAI GPT-4 | 0001_STORE_DIET_INTRODUCTIONS.md ou problema | 0001_STORE_DIET_INTRODUCTIONS_SECURITY.md ou como comentário do problema |
| Antrópico Claude 3 Opus | 0001_STORE_DIET_INTRODUCTIONS.md ou problema | 0001_STORE_DIET_INTRODUCTIONS_SECURITY.md ou como comentário do problema |
| Modelo | Entrada | Saída |
|---|---|---|
| OpenAI GPT-4 | ARQUITETURA.md | ARCHITECTURE_REVIEW.md |
| Antrópico Claude 3 Opus | ARQUITETURA.md | ARCHITECTURE_REVIEW.md |
Adicione uma etapa como esta ao seu fluxo de trabalho:
- uses : xvnpw/[email protected] # You can change this to use a specific version.
with :
# Type of feature, one of: project, architecture, user-story
# Default: ''
# Required
type : ' project '
# Provider name, one of: openai, openrouter
# Default: 'openai'
provider : ' openai '
# Paths to input files formatted as json array
# Default: ''
input_files : ' ["PROJECT.md"] '
# Path to output file
# Default: ''
output_file : ' PROJECT_SECURITY.md '
# For USER STORY only! paths to architecture files formatted as json array
# Default: ''
input_architecture_files : ' ["ARCHITECTURE.md"] '
# For USER STORY only! path to architecture threat model
# Default: ''
input_architecture_threat_model_file : ' ARCHITECTURE_SECURITY.md '
# For USER STORY only! suffix that will be added to input file name to create output file
# Default: '_SECURITY'
user_story_output_suffix : ' _SECURITY '
# Type of OpenAI GPT model
# Default: gpt-4
# For openai models check: https://platform.openai.com/account/rate-limits
# For openrouter models check: https://openrouter.ai/docs#models
model : ' gpt-3.5-turbo-16k '
# Sampling temperature for a model
# Default: 0
temperature : ' 0.3 '
# Review input files using LLM
# Default: false
review : true
# Verbose log messages
# Default: false
verbose : true
# Debug log messages
# Default: false
debug : true
# Prompt templates directory
# Default: '/app/templates'
# By default action will use prompt templates build-in docker image. You can specify your own without forking action.
templates_dir : ' ./templates '
env :
# OpenAI API key
# Optional. Only if want to use openai provider
# Get a key from https://platform.openai.com/account/api-keys
# Add it to secrets in your repository settings
OPENAI_API_KEY : ${{ secrets.OPENAI_API_KEY }}
# Open Router API key
# Optional. Only if want to use openrouter provider
# Get a key from https://openrouter.ai/keys
# Add it to secrets in your repository settings
OPENROUTER_API_KEY : ${{ secrets.OPENROUTER_API_KEY }} Atualmente apoiando:
A ação irá gerar output_file com base nas entradas. Usando outras ações, você pode:
Se seus arquivos de entrada forem muito grandes, você precisará alterar model para um com contexto maior, por exemplo, gpt-3.5-turbo-16k .
Se você alterar os arquivos de entrada, lembre-se de alterar o gatilho:
on :
push :
branches :
- main
paths :
- ' project-desc-1.md '
- ' project-desc-2.md 'Exemplo (abordagem de pull requests):
on :
push :
branches :
- main
paths :
- ' PROJECT.md '
jobs :
project_ai_devsecops_job :
runs-on : ubuntu-latest
permissions :
# Give the default GITHUB_TOKEN write permission to commit and push the
# added or changed files to the repository. Also permission to create/update
# pull requests.
contents : write
pull-requests : write
name : Run ai threat modeling action for project analysis
steps :
- name : Checkout repo
uses : actions/checkout@v3
- name : Generate project security requirements
uses : xvnpw/[email protected]
with :
type : ' project '
input_files : ' ["PROJECT.md"] '
output_file : ' PROJECT_SECURITY.md '
temperature : 0
verbose : true
env :
OPENAI_API_KEY : ${{ secrets.OPENAI_API_KEY }}
# Will use peter-evans/create-pull-request to create or update pull request
- name : Create Pull Request
uses : peter-evans/create-pull-request@v5
with :
branch : create-pull-request/project
title : (AI Generated) High Level Security and Privacy Requirements
body : Automated pull request based on your changes to project. Please review it carefully.
labels : ' security, ai 'Verifique Requisitos de segurança e privacidade de alto nível para obter detalhes sobre gatilhos e modelos.
Exemplo (envio direto para o repositório):
on :
push :
branches :
- main
paths :
- ' ARCHITECTURE.md '
jobs :
architecture_ai_tm_job :
runs-on : ubuntu-latest
permissions :
# Give the default GITHUB_TOKEN write permission to commit and push the
# added or changed files to the repository.
contents : write
name : Will run ai threat modeling action for architecture analysis
steps :
- name : Checkout repo
uses : actions/checkout@v3
- name : Generate architecture threat model
uses : xvnpw/[email protected]
with :
type : ' architecture '
input_files : ' ["ARCHITECTURE.md"] '
output_file : ' ARCHITECTURE_SECURITY.md '
temperature : 0
verbose : true
env :
OPENAI_API_KEY : ${{ secrets.OPENAI_API_KEY }}
# Will use add-and-commit action to push output_file directly into repository
- name : Commit changes
uses : EndBug/add-and-commit@v9
with :
message : ' Project architecture threat model '
add : ' ARCHITECTURE_SECURITY.md 'O uso mais útil é com problemas do GitHub. Mas você também pode gerar resultados com base nas alterações em um diretório específico (fiz isso em pesquisa).
O recurso User Stories requer dois novos parâmetros:
input_architecture_files - matriz json de caminhos de arquivos de arquitetura de entrada, por exemplo, ["arch-1.md","arch-2.md"]input_architecture_threat_model_file - caminho para o modelo de ameaça de arquitetura, por exemplo, ARCHITECTURE_SECURITY.mde um opcional:
user_story_output_suffix - sufixo que será adicionado ao nome do arquivo de entrada para criar o arquivo de saída, por exemplo, _SECURITY No caso de história de usuário, a construção é acionada em alterações em um diretório específico. Primeiro, ele precisa descobrir quais arquivos foram alterados e processá-los individualmente.
Como você pode ver, não usamos o parâmetro input_files . Desta vez, observamos todo o diretório em busca de alterações:
on :
push :
branches :
- main
paths :
- ' user-stories/*.md '
- ' !user-stories/*_SECURITY.md ' Para seus próprios diretórios, você precisa ajustar a configuração paths . O mesmo se aplica para confirmar alterações com add: 'user-stories/' .
Exemplo (envio direto para o repositório):
on :
push :
branches :
- main
paths :
- ' user-stories/*.md '
- ' !user-stories/*_SECURITY.md '
jobs :
user_story_ai_tm_job :
runs-on : ubuntu-latest
permissions :
# Give the default GITHUB_TOKEN write permission to commit and push the
# added or changed files to the repository.
contents : write
name : Will run ai threat modeling action for user story analysis
steps :
- name : Checkout repo
uses : actions/checkout@v3
- name : Check which files were changed
id : files_check
uses : lots0logs/[email protected]
with :
token : ${{ secrets.GITHUB_TOKEN }}
- name : Printing
run : |
echo "${{ steps.files_check.outputs.all }}"
- name : Generate user story security acceptance criteria
uses : xvnpw/[email protected]
with :
type : ' user-story '
input_files : " ${{ steps.files_check.outputs.all }} "
input_architecture_files : ' ["ARCHITECTURE.md"] '
input_architecture_threat_model_file : " ARCHITECTURE_SECURITY.md "
user_story_output_suffix : " _SECURITY "
temperature : 0
verbose : true
model : " gpt-3.5-turbo-16k "
env :
OPENAI_API_KEY : ${{ secrets.OPENAI_API_KEY }}
- name : Commit changes
uses : EndBug/add-and-commit@v9
with :
message : ' User stories: security acceptance criteria '
add : ' user-stories/ ' Neste caso consideramos apenas histórias com determinado rótulo:
if : contains(github.event.issue.labels.*.name, 'ai-threat-modeling')O comentário é adicionado (ou atualizado) usando as ações peter-evans/find-comment e peter-evans/create-or-update-comment.
Exemplo (comentário sobre o assunto):
name : Run ai threat modeling action for user story in issue analysis
on :
issues :
types :
- labeled
- edited
jobs :
user_story_issue_ai_devsecops :
name : Run ai threat modeling action for user story in issue analysis
if : contains(github.event.issue.labels.*.name, 'ai-threat-modeling')
runs-on : ubuntu-latest
permissions :
issues : write
contents : write
steps :
- name : Checkout repo
uses : actions/checkout@v3
- uses : actions/github-script@v6
id : set-result
with :
result-encoding : string
retries : 3
script : |
const issue = await github.rest.issues.get({
issue_number: ${{ github.event.issue.number }},
owner: "${{ github.repository_owner }}",
repo: "${{ github.event.repository.name }}",
});
const body = issue.data.body;
const fs = require('fs');
fs.writeFile('${{ github.workspace }}/issue_body.md', body, (err) => {
if (err) throw err;
console.log('Data written to file');
});
return JSON.stringify(body);
- name : Generate user story security acceptance criteria
uses : xvnpw/[email protected]
with :
type : ' user-story '
input_files : ' ["issue_body.md"] '
input_architecture_files : ' ["ARCHITECTURE.md"] '
input_architecture_threat_model_file : " ARCHITECTURE_SECURITY.md "
temperature : 0
verbose : true
model : " gpt-3.5-turbo-16k "
env :
OPENAI_API_KEY : ${{ secrets.OPENAI_API_KEY }}
- name : Find Comment
uses : peter-evans/find-comment@v2
id : fc
with :
issue-number : ${{ github.event.issue.number }}
comment-author : ' github-actions[bot] '
body-includes : (AI Generated) Security Related Acceptance Criteria
- name : Add comment
uses : peter-evans/create-or-update-comment@v3
with :
comment-id : ${{ steps.fc.outputs.comment-id }}
issue-number : ${{ github.event.issue.number }}
body-path : ${{ github.workspace }}/issue_body_SECURITY.md
edit-mode : replaceExemplo (envio direto para o repositório):
on :
push :
branches :
- main
paths :
- ' ARCHITECTURE.md '
workflow_dispatch :
jobs :
architecture_ai_review_job :
runs-on : ubuntu-latest
permissions :
# Give the default GITHUB_TOKEN write permission to commit and push the
# added or changed files to the repository.
contents : write
name : Run ai threat modeling action for architecture review
steps :
- name : Checkout repo
uses : actions/checkout@v3
- name : Generate architecture review
uses : xvnpw/[email protected]
with :
type : ' architecture ' # will create threat model
input_files : ' ARCHITECTURE.md '
output_file : ' ARCHITECTURE_REVIEW.md '
review : true
temperature : 0.2
verbose : true
model : ' gpt-4 '
env :
OPENAI_API_KEY : ${{ secrets.OPENAI_API_KEY }}
- name : Commit changes
uses : EndBug/add-and-commit@v9
with :
message : ' Project architecture review '
add : ' ARCHITECTURE_REVIEW.md '
pull : ' --rebase --autostash ' Com Add & Commit você pode facilmente submeter output_file no repositório:
- name : Commit changes
uses : EndBug/add-and-commit@v9
with :
message : ' Project architecture threat model '
add : ' ARCHITECTURE_SECURITY.md 'Se você alterar o arquivo de saída, lembre-se de alterar o arquivo de commit:
- name : Commit changes
uses : EndBug/add-and-commit@v9
with :
message : ' Project security requirements '
add : ' project-sec-reqs.md ' Com Create Pull Request você pode criar uma nova pull request com output_file :
- name : Create Pull Request
uses : peter-evans/create-pull-request@v5
with :
branch : create-pull-request/project
title : (AI Generated) High Level Security and Privacy Requirements
body : Automated pull request based on your changes to project. Please review it carefully.
labels : ' security, ai 'Neste modo, você também precisa ajustar as permissões do fluxo de trabalho:
permissions :
# Give the default GITHUB_TOKEN write permission to commit and push the
# added or changed files to the repository.
# It has also permission to pull requests
contents : write
pull-requests : writeAltere também as configurações de ações.
Você pode querer ajustar os prompts. Para fazer isso, você não precisa bifurcar a ação, mas fornecer o diretório de modelos em seu repositório de destino:
cd $HOME / < projects > # your directory with repositories
git clone [email protected]:xvnpw/ai-threat-modeling-action.git
cp -r ai-threat-modeling-action/templates < target-repo > /
cd < target-repo > /templates
# edit templatesNo arquivo de fluxo de trabalho, adicione:
uses : xvnpw/[email protected]
with :
...
templates_dir : ' ./templates ' ./templates - é o diretório relativo à raiz
Este projeto começou como uma pesquisa das capacidades dos LLMs, mas melhorou com o tempo além do simples PoC. Com a versão 1, ele pode ser usado para revisar documentos no github usando Direct Push, PR ou Issues. Desenvolvimentos ou correções adicionais não são garantidos . Se você planeja usá-lo em sua empresa, é melhor fazer um fork e ajustá-lo às suas necessidades.
Bifurque este projeto. Edite arquivos e libere ação:
git add .
git commit -m "My first action is ready"
git tag -a -m "My first action release" v1
git push --follow-tags
Este projeto usa API OpenAI. Por padrão, seus dados não serão usados para aprendizagem, de acordo com as políticas de uso de dados da API:
A OpenAI não usará dados enviados por clientes por meio de nossa API para treinar ou melhorar nossos modelos, a menos que você decida explicitamente compartilhar seus dados conosco para essa finalidade. Você pode optar por compartilhar dados.
OpenRouter descreve privacidade e filtragem nas configurações de cada modelo.
