TaaC AI

Он использует ИИ для анализа описаний услуг, определения угроз безопасности, визуализации потока данных и предлагает исправления на основе структуры шага и руководящих принципов OWASP. Скрипт генерирует подробный отчет HTML и включает в себя функцию ручной оценки риска.

• Обработка файлов YAML: загружает и проверяет файл YAML, содержащий данные службы
• Анализ угроз AI: если предоставлен ключ OpenAI API, сценарий использует ИИ для создания комплексного анализа моделирования угроз
• Ай угроза перекрестная проверка: различные LLMS выполняет результаты проверки
• Генерация потока данных: автоматически генерирует визуальное представление потока данных в службе
• Ручное управление рисками: пользователи могут вручную добавлять, изменять или вычеркнуть риски в сгенерированном отчете
• Генерация отчета: создает подробный отчет HTML, включая как сгенерированный AI, так и вручную добавленные риски

• GPT-3.5
• GPT-4
• Клод 3 Хайку
• Мишстраль 7b (через Олламу)
• Близнецы (запланировано)

Установите ключ API OpenAI в качестве переменной среды openai_key и anpropic_key в вашей операционной системе

API API API API

Linux/Mac

 export OPENAI_KEY=sk-ApiKeyExample

 export ANTHROPIC_KEY=sk-ant-api03-ApiKeyExample

Окна

 set OPENAI_KEY=sk-ApiKeyExample

 set ANTHROPIC_KEY=sk-ant-api03-ApiKeyExample

pip3 install -r requirements.txt

1. Скачать и установить Ollama ollama.ai
2. Установите Mistral

ollama pull mistral

3. Начните сервис Ollama (убедитесь, что приложение Ollama Desktop закрыто)

ollama serve

Теперь вы можете использовать Mistral в качестве основной модели:

python3 TaaC-AI.py --model mistral < path_to_yaml_file >

Или для перекрестной проверки

python3 TaaC-AI.py --model claude --cross-validation mistral < path_to_yaml_file > 

1. Создайте действительное описание службы, используя эти рекомендации или используйте taac_yaml_generator.py , который проведет вас через процесс создания одного

2. Выполните скрипт (GPT-3.5 используется по умолчанию)

python3 TaaC-AI.py < path_to_yaml_file >

Используйте gpt-4 , claude или mistral в качестве модели для определения угроз, указав вариант --model

python3 TaaC-AI.py --model gpt-4 < path_to_yaml_file >

Чтобы выполнить проверку результатов угроз с помощью другого использования LLM --cross-validation .

python3 TaaC-AI.py --model claude --cross-validation claude < path_to_yaml_file >

3. Open Generate .html отчет
4. Обзор/редактирование таблицы анализа угроз, управляемого AI, а также для ложных срабатываний или решенных проблем, отметьте флажок «Статус»
5. Добавить вручную идентифицированные угрозы в таблицу (необязательно)
6. Загрузите отчет через кнопку отчета о загрузке

1. Действительный пример описания службы

 Version : ' 1.0 '
Date : 14.11.2023

# Authentication Service Description
Description :
  Name :  AuthService
  Type : Service
  Criticality : Tier1

# Service Functionality
Functionality : Handles user authentication, including login and token generation.

# Data Processing Details
DataProcessed : 
  Type : Confidential
  DataCategory : Auth
  EncryptionAtRest : Yes

# Components Used by the Service
Components :
  Internal : 
    Exist : Yes
    Source : Private
    Note : Scoped Package Access
  External : 
    Exist : Yes
    PackageManager : NPM

# Pipeline Configuration
Pipeline :
  Type : GithubActions
  CODEOWNERS : Yes
  BranchProtection : Yes
  SignCommits : Yes
  PinActions : Yes
  
# Network Information
Network :
  Access : Private

# Authentication Service Data Flow
dataFlow :  # Removed the dash here
  - name : UserAuthenticationFlow
    description : Authenticates users and issues tokens.
    source : UserLoginInterface
    EncryptionTransit : Yes
    Authentication :
      Exist : Yes
      Type : JWT
    Authorization : read-write
    Protocol : HTTPS
    Communication :
      Type : RESTful API
    interactions :
      - from : UserLoginInterface
        to : AuthService
        method : RESTful API
        protocol : HTTPS
      - from : AuthService
        to : UserDatabase
        method : Query
        protocol : JDBC
    servicesInvolved : [UserLoginInterface, AuthService, UserDatabase]

2. Выполнение скрипта
3. Загрузите и просмотрите сгенерированный отчет HTML

5. Добавьте угрозы вручную

6. Скачать последний отчет

• Шаблон дизайн
• Основная функциональность
• GPT-3 Интеграция
• Отчет поколения
• Вручную добавление выявленных угроз
• Интеграция GPT-4
• Интеграция Клода
• Перекрестная проверка LLM
• Интеграция Mistral через Ollama
• Интеграция Близнецов
• Сравнение точности

Все предложения напишите на [email protected]