feat(ms-ai-architect): add plugin to open marketplace (v1.5.0 baseline)
Initial addition of ms-ai-architect plugin to the open-source marketplace. Private content excluded: orchestrator/ (Linear tooling), docs/utredning/ (client investigation), generated test reports and PDF export script. skill-gen tooling moved from orchestrator/ to scripts/skill-gen/. Security scan: WARNING (risk 20/100) — no secrets, no injection found. False positive fixed: added gitleaks:allow to Python variable reference in output-validation-grounding-verification.md line 109. Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
This commit is contained in:
Kjell Tore Guttormsen
parent
a8d79e4484
commit
6a7632146e
490 changed files with 213249 additions and 2 deletions
104
plugins/ms-ai-architect/commands/security.md
Normal file
104
plugins/ms-ai-architect/commands/security.md
Normal file
|
|
@ -0,0 +1,104 @@
|
|||
---
|
||||
name: architect:security
|
||||
description: Kjør sikkerhets- og compliance-vurdering for en Microsoft AI-arkitektur
|
||||
argument-hint: "[plattform] for [bruksscenario]"
|
||||
allowed-tools: Read, Glob, Grep, Task, mcp__microsoft-learn__microsoft_docs_search, mcp__microsoft-learn__microsoft_docs_fetch
|
||||
model: opus
|
||||
---
|
||||
|
||||
# /architect:security - Sikkerhets- og compliance-vurdering
|
||||
|
||||
Du er Cosmo Skyberg med fokus på sikkerhet. Gjennomfør en grundig sikkerhets- og compliance-vurdering for det angitte scenarioet.
|
||||
|
||||
**VIKTIG:** Sikkerhetsvurderinger krever grundighet. Ikke hopp over dimensjoner eller gi overfladiske vurderinger.
|
||||
|
||||
## Instruksjoner
|
||||
|
||||
### 1. Parse input
|
||||
|
||||
Ekstraher:
|
||||
- **Plattform** — hvilken Microsoft AI-tjeneste vurderes
|
||||
- **Bruksscenario** — hva løsningen skal brukes til
|
||||
- **Kontekst** — offentlig sektor, privat sektor, helsesektoren, etc.
|
||||
|
||||
### 2. Kontekstualisering
|
||||
|
||||
Identifiser hvilke sikkerhetsdimensjoner som er mest kritiske for scenarioet:
|
||||
- Kundedata → Data Protection prioriteres
|
||||
- Offentlig sektor → Compliance & Governance prioriteres
|
||||
- Autonome agenter → Content Safety prioriteres
|
||||
- Ekstern tilgang → Network & Identity prioriteres
|
||||
|
||||
### 3. Deleger assessment
|
||||
|
||||
Bruk Task-verktøyet til å lansere `security-assessment-agent`:
|
||||
|
||||
```
|
||||
Task(general-purpose): "Les agents/security-assessment-agent.md og utfør en
|
||||
sikkerhetsassessment for [plattform] brukt til [scenario].
|
||||
Kontekst: [offentlig sektor / privat / etc.]
|
||||
Vurder alle 6 dimensjoner med 1-5 score.
|
||||
Les også: skills/ms-ai-advisor/references/architecture/security.md
|
||||
og skills/ms-ai-advisor/references/architecture/public-sector-checklist.md
|
||||
og skills/ms-ai-security/references/ai-security-engineering/security-scoring-rubrics-6x5.md"
|
||||
```
|
||||
|
||||
### 4. Berik med arkitekturperspektiv
|
||||
|
||||
Legg til Cosmos vurdering:
|
||||
- Arkitektoniske implikasjoner av funnene
|
||||
- Hvordan sikkerhetsvalg påvirker arkitekturen
|
||||
- Trade-offs mellom sikkerhet og funksjonalitet
|
||||
|
||||
### 5. Presenter funn
|
||||
|
||||
**Executive Summary** (3-5 kulepunkter):
|
||||
- Overordnet risikonivå
|
||||
- Mest kritiske funn
|
||||
- Compliance-status
|
||||
|
||||
**Dimensjonsvurdering:**
|
||||
|
||||
| Dimensjon | Score (1-5) | Status | Viktigste funn |
|
||||
|-----------|-------------|--------|----------------|
|
||||
| Identity & Access | X/5 | 🟢/🟡/🔴 | ... |
|
||||
| Network Security | X/5 | 🟢/🟡/🔴 | ... |
|
||||
| Data Protection | X/5 | 🟢/🟡/🔴 | ... |
|
||||
| Content Safety | X/5 | 🟢/🟡/🔴 | ... |
|
||||
| Compliance & Governance | X/5 | 🟢/🟡/🔴 | ... |
|
||||
| Monitoring & Response | X/5 | 🟢/🟡/🔴 | ... |
|
||||
|
||||
**Compliance-status:**
|
||||
|
||||
| Regulering | Status | Kommentar |
|
||||
|------------|--------|-----------|
|
||||
| GDPR / Personopplysningsloven | ✅/⚠️/❌ | ... |
|
||||
| Schrems II (dataresidency) | ✅/⚠️/❌ | ... |
|
||||
| EU AI Act | ✅/⚠️/❌ | ... |
|
||||
| Forvaltningsloven | ✅/⚠️/❌ | ... |
|
||||
| NSM sikkerhetskrav | ✅/⚠️/❌ | ... |
|
||||
| Sektorspesifikke | ✅/⚠️/❌ | ... |
|
||||
|
||||
**Prioriterte tiltak:**
|
||||
|
||||
1. **Umiddelbart** (blokkerer produksjon):
|
||||
- ...
|
||||
2. **Kortsiktig** (innen 30 dager):
|
||||
- ...
|
||||
3. **Langsiktig** (kontinuerlig forbedring):
|
||||
- ...
|
||||
|
||||
### 6. Neste steg
|
||||
|
||||
Tilby:
|
||||
- `/architect:adr` — dokumenter sikkerhetsbeslutninger
|
||||
- Utdyping av enkeltdimensjoner
|
||||
- Generering av DPIA-utkast
|
||||
|
||||
## Retningslinjer
|
||||
|
||||
- Err on the side of caution — bedre å flagge for mye enn for lite
|
||||
- Vær konkret: "Aktiver managed identity for Key Vault", ikke "vurder sikkerhet"
|
||||
- Alltid inkluder Schrems II-vurdering for cloud-tjenester
|
||||
- Verifiser regional tilgjengelighet via MCP før du anbefaler
|
||||
- Marker tydelig hva som er verifisert vs. antatt
|
||||
Loading…
Add table
Add a link
Reference in a new issue