feat(ms-ai-architect): add plugin to open marketplace (v1.5.0 baseline)
Initial addition of ms-ai-architect plugin to the open-source marketplace. Private content excluded: orchestrator/ (Linear tooling), docs/utredning/ (client investigation), generated test reports and PDF export script. skill-gen tooling moved from orchestrator/ to scripts/skill-gen/. Security scan: WARNING (risk 20/100) — no secrets, no injection found. False positive fixed: added gitleaks:allow to Python variable reference in output-validation-grounding-verification.md line 109. Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
This commit is contained in:
Kjell Tore Guttormsen
parent
a8d79e4484
commit
6a7632146e
490 changed files with 213249 additions and 2 deletions
63
plugins/ms-ai-architect/tests/fixtures/security-assessment/fixture.md
vendored
Normal file
63
plugins/ms-ai-architect/tests/fixtures/security-assessment/fixture.md
vendored
Normal file
|
|
@ -0,0 +1,63 @@
|
|||
## S5: Sikkerhetsvurdering
|
||||
|
||||
### S5.1: Sikkerhetsscoring
|
||||
|
||||
**Totalscore: 2.80/5.00 — BETINGET AKSEPTABEL**
|
||||
|
||||
| Dimensjon | Score | Status | Viktigste funn |
|
||||
|-----------|-------|--------|----------------|
|
||||
| Identity & Access | 3.5/5 | 🟡 Adekvat | Entra ID + Managed Identity. Mangler: PIM for admin, break-glass prosedyrer. |
|
||||
| Network Security | 2.5/5 | 🟡 Adekvat | VNet-integrasjon planlagt. Mangler: Private Endpoints for alle endepunkter. |
|
||||
| Data Protection | 2.0/5 | 🔴 Svak | Sweden Central for Azure OpenAI. Presidio PII planlagt. Mangler: CMK, DLP-policyer. |
|
||||
| Content Safety | 3.5/5 | 🟡 Adekvat | Content Safety + Prompt Shields planlagt. Mangler: norskspesifikke policyer, Groundedness Detection tuning. |
|
||||
| Compliance & Governance | 2.5/5 | 🟡 Adekvat | AI Act-klassifisering utført. Mangler: DPIA, AI-register, Schrems II TIA. |
|
||||
| Monitoring & Response | 2.8/5 | 🟡 Adekvat | Application Insights + Sentinel planlagt. Mangler: AI-spesifikke deteksjonsregler, incident response-plan. |
|
||||
|
||||
### Kritiske funn
|
||||
|
||||
**P0 (Blokkerende):**
|
||||
1. **DPIA ikke gjennomført** — Obligatorisk (GDPR art. 35) pga. PII i avviksrapporter
|
||||
2. **Schrems II TIA mangler** — Azure OpenAI i Sweden Central krever formell risikovurdering
|
||||
3. **Incident Response-plan mangler** — Ingen prosedyre for AI-spesifikke hendelser (prompt injection breach, PII-lekkasje)
|
||||
|
||||
**P1 (Høy prioritet):**
|
||||
4. **Red team-testing av security trimming** — Må verifisere at regionbasert tilgangskontroll fungerer korrekt
|
||||
5. **AI-spesifikk alerting mangler** — Ingen varsling for anomalier i prompt-mønstre eller uvanlig token-forbruk
|
||||
6. **PIM ikke konfigurert** — Admin-tilgang til AI-ressurser bør styres via Privileged Identity Management
|
||||
|
||||
### S5.2: DPIA-status
|
||||
|
||||
| Spørsmål | Svar |
|
||||
|----------|------|
|
||||
| Behandles personopplysninger? | Ja — PII i avviksrapporter, chatlogger |
|
||||
| Er DPIA påkrevd? | Ja (GDPR art. 35) |
|
||||
| Er DPIA gjennomført? | ⬜ Ikke startet |
|
||||
| Personvernombud involvert? | Planlagt for Fase 1 |
|
||||
| Konsultasjon med Datatilsynet? | Vurderes etter DPIA |
|
||||
|
||||
**Tidsestimat:** 1-2 uker for gjennomføring, inkl. personvernombuds review.
|
||||
|
||||
### S5.3: ROS-analyse
|
||||
|
||||
| # | Risiko | S | K | Nivå | Tiltak | Restrisiko |
|
||||
|---|--------|---|---|------|--------|------------|
|
||||
| 1 | Hallusinering i faglige svar | 4 | 3 | HØY | Groundedness detection 0.8, kildehenvisninger, HITL-disclaimer | MIDDELS |
|
||||
| 2 | PII-lekkasje via AI-svar | 2 | 4 | HØY | Presidio pre-indexing + runtime PII-filter + security trimming | LAV |
|
||||
| 3 | Prompt injection | 3 | 3 | MIDDELS | Prompt Shields + Content Safety + system message-hardening | LAV |
|
||||
| 4 | Uautorisert dokumenttilgang | 2 | 4 | MIDDELS | Security trimming med SharePoint ACL-mapping + Entra ID | LAV |
|
||||
| 5 | Schrems II — data residency | 3 | 3 | MIDDELS | Formell TIA + risikoaksept. Data-at-rest i Norway East. | MIDDELS |
|
||||
| 6 | Modell-degradering over tid | 2 | 2 | LAV | Kvartalsvis eval + drift-monitoring + automatisk rollback | LAV |
|
||||
|
||||
### S5.4: Dataklassifisering
|
||||
|
||||
| Datatype | Klassifisering | Behandlingsgrunnlag | Lagringssted |
|
||||
|----------|----------------|---------------------|--------------|
|
||||
| Håndbøker (N-serien) | Intern | Berettiget interesse | Azure AI Search (Norway East) |
|
||||
| Kontrakter | Fortrolig | Berettiget interesse | Azure AI Search (Norway East), security trimmed |
|
||||
| Inspeksjonsrapporter | Intern | Berettiget interesse | Azure AI Search (Norway East) |
|
||||
| Avviksrapporter (PII) | Fortrolig | Samtykke/Lovhjemmel | Azure AI Search (Norway East), PII-maskert |
|
||||
| Chatlogger | Intern | Berettiget interesse | Application Insights (Sweden Central), 90d retention |
|
||||
| NVDB-data | Åpen | Åpne data | Ikke lagret — live API-oppslag |
|
||||
|
||||
---
|
||||
|
||||
Loading…
Add table
Add a link
Reference in a new issue