ai threat modeling action
v1.3.4
? Вы можете использовать это действие GitHub для создания рекомендуемого контента с использованием ИИ для моделирования угроз и проверки безопасности. Он использует xvnpw/ai-threat-modeling.
️ Это экспериментальный проект
Поддерживаемые функции:
| Особенность | Описание |
|---|---|
| Требования высокого уровня безопасности и конфиденциальности | Действие будет включать описание проекта и использование LLM для формирования требований высокого уровня в отношении безопасности и конфиденциальности. |
| Модель угроз архитектуры | Действие будет включать описание архитектуры и использование LLM для создания для нее модели угроз. |
| Критерии приемлемости безопасности для пользовательской истории | Действие будет учитывать конкретную пользовательскую историю и генерировать критерии приемлемости, связанные с безопасностью. |
| Обзор входного файла | Действие будет выполнено с входным файлом (например, описанием архитектуры) и просмотрите его с помощью LLM. |
Используйте приведенные ниже версии для конкретных моделей:
| Модель | Версия | Примечание |
|---|---|---|
| OpenAI GPT-3.5, Антропный Клод 2 | v1.2.6.1 | |
| OpenAI GPT-4 | Последний | |
| Клод 3 | Последний |
| Модель | Вход | Выход |
|---|---|---|
| OpenAI GPT-3.5 | ПРОЕКТ.md | PROJECT_SECURITY.md или в виде запроса на извлечение |
| Антропный Клод 2 | ПРОЕКТ.md | PROJECT_SECURITY.md или в виде запроса на извлечение |
| OpenAI GPT-4 | ПРОЕКТ.md | PROJECT_SECURITY.md или в виде запроса на извлечение |
| Антропный Клод 3 Опус | ПРОЕКТ.md | PROJECT_SECURITY.md или в виде запроса на извлечение |
| Модель | Вход | Выход |
|---|---|---|
| OpenAI GPT-3.5 | АРХИТЕКТУРА.md | ARCHITECTURE_SECURITY.md |
| Антропный Клод 2 | АРХИТЕКТУРА.md | ARCHITECTURE_SECURITY.md |
| OpenAI GPT-4 | АРХИТЕКТУРА.md | ARCHITECTURE_SECURITY.md |
| Антропный Клод 3 Опус | АРХИТЕКТУРА.md | ARCHITECTURE_SECURITY.md |
| Модель | Вход | Выход |
|---|---|---|
| OpenAI GPT-3.5 | 0001_STORE_DIET_INTRODUCTIONS.md или проблема | 0001_STORE_DIET_INTRODUCTIONS_SECURITY.md или как комментарий к проблеме |
| Антропный Клод 2 | 0001_STORE_DIET_INTRODUCTIONS.md или проблема | 0001_STORE_DIET_INTRODUCTIONS_SECURITY.md или как комментарий к проблеме |
| OpenAI GPT-4 | 0001_STORE_DIET_INTRODUCTIONS.md или проблема | 0001_STORE_DIET_INTRODUCTIONS_SECURITY.md или как комментарий к проблеме |
| Антропный Клод 3 Опус | 0001_STORE_DIET_INTRODUCTIONS.md или проблема | 0001_STORE_DIET_INTRODUCTIONS_SECURITY.md или как комментарий к проблеме |
| Модель | Вход | Выход |
|---|---|---|
| OpenAI GPT-4 | АРХИТЕКТУРА.md | ARCHITECTURE_REVIEW.md |
| Антропный Клод 3 Опус | АРХИТЕКТУРА.md | ARCHITECTURE_REVIEW.md |
Добавьте такой шаг в свой рабочий процесс:
- uses : xvnpw/[email protected] # You can change this to use a specific version.
with :
# Type of feature, one of: project, architecture, user-story
# Default: ''
# Required
type : ' project '
# Provider name, one of: openai, openrouter
# Default: 'openai'
provider : ' openai '
# Paths to input files formatted as json array
# Default: ''
input_files : ' ["PROJECT.md"] '
# Path to output file
# Default: ''
output_file : ' PROJECT_SECURITY.md '
# For USER STORY only! paths to architecture files formatted as json array
# Default: ''
input_architecture_files : ' ["ARCHITECTURE.md"] '
# For USER STORY only! path to architecture threat model
# Default: ''
input_architecture_threat_model_file : ' ARCHITECTURE_SECURITY.md '
# For USER STORY only! suffix that will be added to input file name to create output file
# Default: '_SECURITY'
user_story_output_suffix : ' _SECURITY '
# Type of OpenAI GPT model
# Default: gpt-4
# For openai models check: https://platform.openai.com/account/rate-limits
# For openrouter models check: https://openrouter.ai/docs#models
model : ' gpt-3.5-turbo-16k '
# Sampling temperature for a model
# Default: 0
temperature : ' 0.3 '
# Review input files using LLM
# Default: false
review : true
# Verbose log messages
# Default: false
verbose : true
# Debug log messages
# Default: false
debug : true
# Prompt templates directory
# Default: '/app/templates'
# By default action will use prompt templates build-in docker image. You can specify your own without forking action.
templates_dir : ' ./templates '
env :
# OpenAI API key
# Optional. Only if want to use openai provider
# Get a key from https://platform.openai.com/account/api-keys
# Add it to secrets in your repository settings
OPENAI_API_KEY : ${{ secrets.OPENAI_API_KEY }}
# Open Router API key
# Optional. Only if want to use openrouter provider
# Get a key from https://openrouter.ai/keys
# Add it to secrets in your repository settings
OPENROUTER_API_KEY : ${{ secrets.OPENROUTER_API_KEY }} В настоящее время поддерживаются:
Действие сгенерирует output_file на основе входных данных. С помощью других действий вы можете:
Если ваши входные файлы довольно большие, вам нужно изменить model на модель с большим контекстом, например gpt-3.5-turbo-16k .
Если вы меняете входные файлы, не забудьте изменить триггер:
on :
push :
branches :
- main
paths :
- ' project-desc-1.md '
- ' project-desc-2.md 'Пример (подход с запросами на включение):
on :
push :
branches :
- main
paths :
- ' PROJECT.md '
jobs :
project_ai_devsecops_job :
runs-on : ubuntu-latest
permissions :
# Give the default GITHUB_TOKEN write permission to commit and push the
# added or changed files to the repository. Also permission to create/update
# pull requests.
contents : write
pull-requests : write
name : Run ai threat modeling action for project analysis
steps :
- name : Checkout repo
uses : actions/checkout@v3
- name : Generate project security requirements
uses : xvnpw/[email protected]
with :
type : ' project '
input_files : ' ["PROJECT.md"] '
output_file : ' PROJECT_SECURITY.md '
temperature : 0
verbose : true
env :
OPENAI_API_KEY : ${{ secrets.OPENAI_API_KEY }}
# Will use peter-evans/create-pull-request to create or update pull request
- name : Create Pull Request
uses : peter-evans/create-pull-request@v5
with :
branch : create-pull-request/project
title : (AI Generated) High Level Security and Privacy Requirements
body : Automated pull request based on your changes to project. Please review it carefully.
labels : ' security, ai 'Подробную информацию о триггерах и моделях см. в разделе «Требования к высокому уровню безопасности и конфиденциальности».
Пример (прямая загрузка в репозиторий):
on :
push :
branches :
- main
paths :
- ' ARCHITECTURE.md '
jobs :
architecture_ai_tm_job :
runs-on : ubuntu-latest
permissions :
# Give the default GITHUB_TOKEN write permission to commit and push the
# added or changed files to the repository.
contents : write
name : Will run ai threat modeling action for architecture analysis
steps :
- name : Checkout repo
uses : actions/checkout@v3
- name : Generate architecture threat model
uses : xvnpw/[email protected]
with :
type : ' architecture '
input_files : ' ["ARCHITECTURE.md"] '
output_file : ' ARCHITECTURE_SECURITY.md '
temperature : 0
verbose : true
env :
OPENAI_API_KEY : ${{ secrets.OPENAI_API_KEY }}
# Will use add-and-commit action to push output_file directly into repository
- name : Commit changes
uses : EndBug/add-and-commit@v9
with :
message : ' Project architecture threat model '
add : ' ARCHITECTURE_SECURITY.md 'Наиболее полезное использование — проблемы с GitHub. Но вы также можете генерировать выходные данные на основе изменений в определенном каталоге (я сделал это в ходе исследования).
Для функции «Истории пользователей» требуются два новых параметра:
input_architecture_files — массив json путей к файлам входной архитектуры, например ["arch-1.md","arch-2.md"]input_architecture_threat_model_file — путь к модели угроз архитектуры, например ARCHITECTURE_SECURITY.mdи один дополнительный:
user_story_output_suffix — суффикс, который будет добавлен к имени входного файла для создания выходного файла, например _SECURITY В случае пользовательской истории сборка запускается при изменении определенного каталога. Во-первых, ему необходимо выяснить, какие файлы были изменены, и обработать их индивидуально.
Как видите, мы не используем параметр input_files . На этот раз мы наблюдаем за изменениями весь каталог:
on :
push :
branches :
- main
paths :
- ' user-stories/*.md '
- ' !user-stories/*_SECURITY.md ' Для ваших собственных каталогов вам необходимо настроить конфигурацию paths . То же самое относится и к фиксации изменений с помощью add: 'user-stories/' .
Пример (прямая загрузка в репозиторий):
on :
push :
branches :
- main
paths :
- ' user-stories/*.md '
- ' !user-stories/*_SECURITY.md '
jobs :
user_story_ai_tm_job :
runs-on : ubuntu-latest
permissions :
# Give the default GITHUB_TOKEN write permission to commit and push the
# added or changed files to the repository.
contents : write
name : Will run ai threat modeling action for user story analysis
steps :
- name : Checkout repo
uses : actions/checkout@v3
- name : Check which files were changed
id : files_check
uses : lots0logs/[email protected]
with :
token : ${{ secrets.GITHUB_TOKEN }}
- name : Printing
run : |
echo "${{ steps.files_check.outputs.all }}"
- name : Generate user story security acceptance criteria
uses : xvnpw/[email protected]
with :
type : ' user-story '
input_files : " ${{ steps.files_check.outputs.all }} "
input_architecture_files : ' ["ARCHITECTURE.md"] '
input_architecture_threat_model_file : " ARCHITECTURE_SECURITY.md "
user_story_output_suffix : " _SECURITY "
temperature : 0
verbose : true
model : " gpt-3.5-turbo-16k "
env :
OPENAI_API_KEY : ${{ secrets.OPENAI_API_KEY }}
- name : Commit changes
uses : EndBug/add-and-commit@v9
with :
message : ' User stories: security acceptance criteria '
add : ' user-stories/ ' В этом случае мы рассматриваем только истории с определенным ярлыком:
if : contains(github.event.issue.labels.*.name, 'ai-threat-modeling')Комментарий добавляется (или обновляется) с помощью действий peter-evans/find-comment и peter-evans/create-or-update-comment.
Пример (комментарий к вопросу):
name : Run ai threat modeling action for user story in issue analysis
on :
issues :
types :
- labeled
- edited
jobs :
user_story_issue_ai_devsecops :
name : Run ai threat modeling action for user story in issue analysis
if : contains(github.event.issue.labels.*.name, 'ai-threat-modeling')
runs-on : ubuntu-latest
permissions :
issues : write
contents : write
steps :
- name : Checkout repo
uses : actions/checkout@v3
- uses : actions/github-script@v6
id : set-result
with :
result-encoding : string
retries : 3
script : |
const issue = await github.rest.issues.get({
issue_number: ${{ github.event.issue.number }},
owner: "${{ github.repository_owner }}",
repo: "${{ github.event.repository.name }}",
});
const body = issue.data.body;
const fs = require('fs');
fs.writeFile('${{ github.workspace }}/issue_body.md', body, (err) => {
if (err) throw err;
console.log('Data written to file');
});
return JSON.stringify(body);
- name : Generate user story security acceptance criteria
uses : xvnpw/[email protected]
with :
type : ' user-story '
input_files : ' ["issue_body.md"] '
input_architecture_files : ' ["ARCHITECTURE.md"] '
input_architecture_threat_model_file : " ARCHITECTURE_SECURITY.md "
temperature : 0
verbose : true
model : " gpt-3.5-turbo-16k "
env :
OPENAI_API_KEY : ${{ secrets.OPENAI_API_KEY }}
- name : Find Comment
uses : peter-evans/find-comment@v2
id : fc
with :
issue-number : ${{ github.event.issue.number }}
comment-author : ' github-actions[bot] '
body-includes : (AI Generated) Security Related Acceptance Criteria
- name : Add comment
uses : peter-evans/create-or-update-comment@v3
with :
comment-id : ${{ steps.fc.outputs.comment-id }}
issue-number : ${{ github.event.issue.number }}
body-path : ${{ github.workspace }}/issue_body_SECURITY.md
edit-mode : replaceПример (прямая загрузка в репозиторий):
on :
push :
branches :
- main
paths :
- ' ARCHITECTURE.md '
workflow_dispatch :
jobs :
architecture_ai_review_job :
runs-on : ubuntu-latest
permissions :
# Give the default GITHUB_TOKEN write permission to commit and push the
# added or changed files to the repository.
contents : write
name : Run ai threat modeling action for architecture review
steps :
- name : Checkout repo
uses : actions/checkout@v3
- name : Generate architecture review
uses : xvnpw/[email protected]
with :
type : ' architecture ' # will create threat model
input_files : ' ARCHITECTURE.md '
output_file : ' ARCHITECTURE_REVIEW.md '
review : true
temperature : 0.2
verbose : true
model : ' gpt-4 '
env :
OPENAI_API_KEY : ${{ secrets.OPENAI_API_KEY }}
- name : Commit changes
uses : EndBug/add-and-commit@v9
with :
message : ' Project architecture review '
add : ' ARCHITECTURE_REVIEW.md '
pull : ' --rebase --autostash ' С помощью Add & Commit вы можете легко зафиксировать output_file в репозитории:
- name : Commit changes
uses : EndBug/add-and-commit@v9
with :
message : ' Project architecture threat model '
add : ' ARCHITECTURE_SECURITY.md 'Если вы меняете выходной файл, не забудьте изменить файл фиксации:
- name : Commit changes
uses : EndBug/add-and-commit@v9
with :
message : ' Project security requirements '
add : ' project-sec-reqs.md ' С помощью Create Pull Request вы можете создать новый pull request с помощью output_file :
- name : Create Pull Request
uses : peter-evans/create-pull-request@v5
with :
branch : create-pull-request/project
title : (AI Generated) High Level Security and Privacy Requirements
body : Automated pull request based on your changes to project. Please review it carefully.
labels : ' security, ai 'В этом режиме вам также необходимо настроить разрешения для рабочего процесса:
permissions :
# Give the default GITHUB_TOKEN write permission to commit and push the
# added or changed files to the repository.
# It has also permission to pull requests
contents : write
pull-requests : writeТакже измените настройки действий.
Возможно, вы захотите настроить подсказки. Для этого вам не нужно создавать форк действия, а предоставить каталог шаблонов в целевой репозиторий:
cd $HOME / < projects > # your directory with repositories
git clone [email protected]:xvnpw/ai-threat-modeling-action.git
cp -r ai-threat-modeling-action/templates < target-repo > /
cd < target-repo > /templates
# edit templatesВ файл рабочего процесса добавьте:
uses : xvnpw/[email protected]
with :
...
templates_dir : ' ./templates ' ./templates — каталог относительно корня
Этот проект начался как исследование возможностей LLM, но со временем он вышел за рамки простого PoC. В версии 1 ее можно использовать для проверки документов в GitHub с помощью прямого нажатия, PR или проблем. Дальнейшее развитие или исправления не гарантируются . Если вы планируете использовать его в своей компании, лучше всего создать его форк и настроить под свои нужды.
Форкните этот проект. Отредактируйте файлы и отпустите действие:
git add .
git commit -m "My first action is ready"
git tag -a -m "My first action release" v1
git push --follow-tags
Этот проект использует API OpenAI. По умолчанию ваши данные не будут использоваться для обучения в соответствии с политикой использования данных API:
OpenAI не будет использовать данные, предоставленные клиентами через наш API, для обучения или улучшения наших моделей, если только вы явно не решите поделиться своими данными с нами для этой цели. Вы можете дать согласие на обмен данными.
OpenRouter описывает конфиденциальность и фильтрацию в настройках для каждой модели.
