Beranda>Terkait pemrograman>Kode sumber lainnya
Unduh

Pemodelan ancaman yang digerakkan oleh AI sebagai kode (TAAC-AI)

Ini memanfaatkan AI untuk menganalisis deskripsi layanan, mengidentifikasi ancaman keamanan, memvisualisasikan aliran data, dan menyarankan persiapan berdasarkan pada Stride Framework dan OWASP Guidelines. Skrip ini menghasilkan laporan HTML yang mendalam dan mencakup fitur untuk penilaian risiko manual.

Desain

desain

Cara kerjanya

  • Pemrosesan File YAML: Memuat dan memvalidasi file YAML yang berisi detail layanan
  • Analisis Ancaman AI: Jika kunci API Openai disediakan, skrip menggunakan AI untuk menghasilkan analisis pemodelan ancaman yang komprehensif
  • Validasi Silang Ancaman AI: Berbagai LLMS melakukan hasil validasi
  • Pembuatan Aliran Data: Secara Otomatis Menghasilkan Representasi Visual dari Aliran Data dalam Layanan
  • Manajemen Risiko Manual: Pengguna dapat secara manual menambah, memodifikasi, atau mencoret risiko dalam laporan yang dihasilkan
  • Generasi Laporan: Menghasilkan Laporan HTML terperinci, termasuk risiko AI yang dihasilkan dan ditambahkan secara manual

Model didukung

  • GPT-3.5
  • GPT-4
  • Claude 3 haiku
  • Mistral 7B (melalui Ollama)
  • Gemini (direncanakan)

Atur tombol API

Atur tombol API OpenAI sebagai variabel lingkungan OpenAI_Key dan Anthropic_key dalam sistem operasi Anda

Openai API Anthropic API

Linux/Mac 

 export OPENAI_KEY=sk-ApiKeyExample
 export ANTHROPIC_KEY=sk-ant-api03-ApiKeyExample

Windows 

 set OPENAI_KEY=sk-ApiKeyExample
 set ANTHROPIC_KEY=sk-ant-api03-ApiKeyExample

Instal dependensi 

pip3 install -r requirements.txt

Instal Mistral dan Ollama

  1. Unduh dan instal ollama ollama.ai
  2. Instal Mistral 
ollama pull mistral
  1. Mulai Layanan Ollama (Pastikan Aplikasi Desktop Ollama ditutup) 
ollama serve

Sekarang Anda dapat menggunakan Mistral sebagai model utama: 

python3 TaaC-AI.py --model mistral < path_to_yaml_file >

Atau untuk validasi silang 

python3 TaaC-AI.py --model claude --cross-validation mistral < path_to_yaml_file >

Cara menggunakan ❓

  1. Buat deskripsi layanan yang valid menggunakan pedoman ini atau gunakan taac_yaml_generator.py yang akan memandu Anda melalui proses menghasilkan satu

Yaml_Generator!

  1. Jalankan skrip (GPT-3.5 digunakan secara default) 
python3 TaaC-AI.py < path_to_yaml_file >

Gunakan gpt-4 , claude atau mistral sebagai model untuk mengidentifikasi ancaman dengan menentukan opsi --model 

python3 TaaC-AI.py --model gpt-4 < path_to_yaml_file >

Untuk melakukan validasi hasil ancaman dengan penggunaan LLM lain --cross-validation . 

python3 TaaC-AI.py --model claude --cross-validation claude < path_to_yaml_file >
  1. Buka menghasilkan .html Laporan
  2. Ulasan/Edit Tabel Analisis Pemodelan Ancaman Terbukti AI, dan untuk positif palsu atau masalah terselesaikan, tandai kotak centang 'Status'
  3. Tambahkan ancaman yang diidentifikasi secara manual ke tabel (opsional)
  4. Unduh Laporan Melalui Tombol Laporan Unduh

Contoh Penggunaan?

  1. Contoh deskripsi layanan yang valid 
 Version : ' 1.0 '
Date : 14.11.2023

# Authentication Service Description
Description :
  Name :  AuthService
  Type : Service
  Criticality : Tier1

# Service Functionality
Functionality : Handles user authentication, including login and token generation.

# Data Processing Details
DataProcessed : 
  Type : Confidential
  DataCategory : Auth
  EncryptionAtRest : Yes

# Components Used by the Service
Components :
  Internal : 
    Exist : Yes
    Source : Private
    Note : Scoped Package Access
  External : 
    Exist : Yes
    PackageManager : NPM

# Pipeline Configuration
Pipeline :
  Type : GithubActions
  CODEOWNERS : Yes
  BranchProtection : Yes
  SignCommits : Yes
  PinActions : Yes
  
# Network Information
Network :
  Access : Private

# Authentication Service Data Flow
dataFlow :  # Removed the dash here
  - name : UserAuthenticationFlow
    description : Authenticates users and issues tokens.
    source : UserLoginInterface
    EncryptionTransit : Yes
    Authentication :
      Exist : Yes
      Type : JWT
    Authorization : read-write
    Protocol : HTTPS
    Communication :
      Type : RESTful API
    interactions :
      - from : UserLoginInterface
        to : AuthService
        method : RESTful API
        protocol : HTTPS
      - from : AuthService
        to : UserDatabase
        method : Query
        protocol : JDBC
    servicesInvolved : [UserLoginInterface, AuthService, UserDatabase]
  1. Eksekusi skrip eksekusi!
  2. Unduh dan tinjau laporan HTML yang dihasilkan

tinjauan!

  1. Tambahkan ancaman secara manual

MANUAL!

  1. Unduh laporan terbaru

Unduh!

Peta jalan? ️

  • Desain Template
  • Fungsi dasar
  • Integrasi GPT-3
  • Generasi laporan
  • Menambahkan ancaman yang diidentifikasi secara manual
  • Integrasi GPT-4
  • Integrasi Claude
  • Validasi silang llm
  • Integrasi Mistral melalui Ollama
  • Integrasi Gemini
  • Perbandingan akurasi

Kontak?

Semua saran menulis ke [email protected]

Memperluas
Informasi Tambahan
Aplikasi Terkait
Direkomendasikan untuk Anda
Informasi Terkait Semua