TaaC AI

Il tire parti de l'IA pour analyser les descriptions des services, identifier les menaces de sécurité, visualiser le flux de données et suggérer des remèdes en fonction du cadre de foulée et des directives OWASP. Le script génère un rapport HTML détaillé et comprend une fonctionnalité pour l'évaluation des risques manuelle.

• Traitement de fichiers YAML: charge et valide un fichier YAML contenant les détails du service
• Analyse des menaces de l'IA: Si une clé API OpenAI est fournie, le script utilise l'IA pour générer une analyse de modélisation de menace complète
• Validation croisée de la menace AI: divers LLMS effectue des résultats de validation
• Génération du flux de données: génère automatiquement une représentation visuelle du flux de données au sein du service
• Gestion manuelle des risques: les utilisateurs peuvent ajouter, modifier ou réduire les risques dans le rapport généré
• Génération de rapports: produit un rapport HTML détaillé, y compris les risques générés et ajoutés manuellement

• GPT-3.5
• Gpt-4
• Claude 3 Haiku
• Mistral 7b (à travers Olllam)
• Gémeaux (prévu)

Définissez la clé API OpenAI en tant que variable d'environnement Openai_key et Anthropic_key dans votre système d'exploitation

API API Openai

Linux / Mac

 export OPENAI_KEY=sk-ApiKeyExample

 export ANTHROPIC_KEY=sk-ant-api03-ApiKeyExample

Fenêtre

 set OPENAI_KEY=sk-ApiKeyExample

 set ANTHROPIC_KEY=sk-ant-api03-ApiKeyExample

pip3 install -r requirements.txt

1. Télécharger et installer olllama olllama.ai
2. Installer Mistral

ollama pull mistral

3. Démarrez le service Olllama (assurez-vous que l'application Olllama Desktop est fermée)

ollama serve

Vous pouvez maintenant utiliser Mistral comme modèle principal:

python3 TaaC-AI.py --model mistral < path_to_yaml_file >

Ou pour la validation croisée

python3 TaaC-AI.py --model claude --cross-validation mistral < path_to_yaml_file > 

1. Créez une description de service valide à l'aide de ces directives ou utilisez taac_yaml_generator.py qui vous guidera tout au long du processus de génération d'un

2. Exécuter le script (GPT-3.5 est utilisé par défaut)

python3 TaaC-AI.py < path_to_yaml_file >

Utilisez gpt-4 , claude ou mistral comme modèle pour identifier les menaces en spécifiant l'option --model

python3 TaaC-AI.py --model gpt-4 < path_to_yaml_file >

Pour effectuer la validation des résultats des menaces par une autre option LLM Use --cross-validation .

python3 TaaC-AI.py --model claude --cross-validation claude < path_to_yaml_file >

3. Open Générer le rapport .html
4. Examiner / modifier le tableau d'analyse de la modélisation des menaces axée sur l'AI et pour les faux positifs ou les problèmes résolus, marquez la case à cocher 'Status'
5. Ajouter des menaces identifiées manuellement à la table (facultative)
6. Téléchargez le rapport via le bouton Rapport de téléchargement

1. Exemple de description du service valide

 Version : ' 1.0 '
Date : 14.11.2023

# Authentication Service Description
Description :
  Name :  AuthService
  Type : Service
  Criticality : Tier1

# Service Functionality
Functionality : Handles user authentication, including login and token generation.

# Data Processing Details
DataProcessed : 
  Type : Confidential
  DataCategory : Auth
  EncryptionAtRest : Yes

# Components Used by the Service
Components :
  Internal : 
    Exist : Yes
    Source : Private
    Note : Scoped Package Access
  External : 
    Exist : Yes
    PackageManager : NPM

# Pipeline Configuration
Pipeline :
  Type : GithubActions
  CODEOWNERS : Yes
  BranchProtection : Yes
  SignCommits : Yes
  PinActions : Yes
  
# Network Information
Network :
  Access : Private

# Authentication Service Data Flow
dataFlow :  # Removed the dash here
  - name : UserAuthenticationFlow
    description : Authenticates users and issues tokens.
    source : UserLoginInterface
    EncryptionTransit : Yes
    Authentication :
      Exist : Yes
      Type : JWT
    Authorization : read-write
    Protocol : HTTPS
    Communication :
      Type : RESTful API
    interactions :
      - from : UserLoginInterface
        to : AuthService
        method : RESTful API
        protocol : HTTPS
      - from : AuthService
        to : UserDatabase
        method : Query
        protocol : JDBC
    servicesInvolved : [UserLoginInterface, AuthService, UserDatabase]

2. Exécution de script
3. Télécharger et revoir le rapport HTML généré

5. Ajouter des menaces manuellement

6. Télécharger le dernier rapport

• Conception de modèle
• Fonctionnalité de base
• Intégration GPT-3
• Génération de rapports
• Ajout manuellement des menaces identifiées
• Intégration GPT-4
• Claude Intégration
• Validation croisée LLM
• Mistral Intégration via Olllama
• Intégration des Gémeaux
• Comparaison de précision

Toutes les suggestions écrivent à [email protected]