open/ktg-plugin-marketplace
1
0
Fork 0
Code Issues Pull requests Releases Wiki Activity Actions
ktg-plugin-marketplace/plugins/ms-ai-architect/playground/test-fixtures/security.md
Kjell Tore Guttormsen 7ffaa82207 feat(ms-ai-architect): release v1.11.0 — design-system 100%-adoption + visual upgrade 
Sesjon 3 av 3 — leverer Fase 7-9 av v1.11.0-planen.

Fase 7 (Acme-rename på demo-state):
- Rename "Acme AS" → "Acme Kommune" og "Demosystem" → "Acme Kunde-chatbot"
  konsistent på tvers av alle 17 fixtures.
- build-demo-state.mjs: organization.name → "Acme Kommune", projects[0] →
  id "acme-kunde-chatbot" / name "Acme: Kunde-chatbot".
- Re-bygd demo-state-v1-blokk i playground HTML.

Fase 8 (Screenshots-regenerering):
- 24 nye PNG-er under playground/screenshots/v1.11.0/ (12 surfaces × 2 tema,
  retina, fullPage). v1.10.0-mappen beholdt som historisk referanse.
- tests/screenshot/run.mjs: OUT_DIR + kommentarer bumpet til v1.11.0.

Fase 9 (Release: docs + versjonsbump):
- plugin.json 1.10.1 → 1.11.0.
- README.md (plugin): version-badge + Version History + screenshot-gallery refs +
  demo-data refs oppdatert.
- CLAUDE.md (plugin): Playground-overskrift v3/v1.10.0 → v3/v1.11.0,
  Demo system-seksjon v1.10.1 → v1.11.0, screenshot-refs v1.10.0 → v1.11.0,
  "Inline CSS-kandidater" konvertert til "Design-system 100%-adoption" status.
- Root README.md: ms-ai-architect-versjon 1.10.1 → 1.11.0, demo-tekst og
  Playground-tekst regenerert for v1.11.0, "271 PASS combined" → "278 PASS".

Verifisering:
- bash tests/run-e2e.sh --playground → 271/271 PASS (static + parsers).
- bash tests/test-playground-migrations.sh → 7/7 PASS.
- Total: 278/278 PASS, 0 FAIL.

Refs: NEXT-SESSION-PROMPT.local.md (Sesjon 3 av 3, plan
.claude/plans/jeg-skal-pr-ve-effervescent-token.md).

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-04 17:41:36 +02:00

64 lines
2.8 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Sikkerhetsvurdering 6×5 — Acme Kunde-chatbot
System: Acme Kunde-chatbot (Acme Kommune)
Rammeverk: NSM Grunnprinsipper + Microsoft Cloud Security + EU AI Act Art. 15
## Score per dimensjon
| Dimensjon | Score | Vurdering |
|-----------|-------|-----------|
| Identitet og tilgang | 4 | Entra ID med MFA, conditional access; mangler PIM på enkelte serviceprinciper |
| Datasikkerhet og personvern | 3 | Customer-managed keys, pseudonymisering pilotert; full Customer Lockbox ikke aktivert |
| Modell- og prompt-sikkerhet | 3 | Content filters aktivert; jailbreak-deteksjon via Azure AI Content Safety; ingen red-team-runde gjort |
| Nettverk og perimeter | 5 | Private Endpoint mot alle Azure AI-tjenester; ingen offentlig eksponering |
| Logging og hendelseshåndtering | 4 | OpenTelemetry → Sentinel; SOC integrert; mangler automatisk avviksdeteksjon for AI-output |
| Operasjonell og leverandørsikkerhet | 3 | Hovedleverandører verifisert; mangler third-party penetrasjons-test siste 12 mnd |
## Risikomatrise (6×5)
| Risiko | Sannsynlighet | Konsekvens | Score |
|--------|---------------|------------|-------|
| Lekkasje av treningsdata | 2 | 5 | 10 |
| Prompt injection i forklaringsmodell | 3 | 3 | 9 |
| Modell-tyveri (model extraction) | 2 | 3 | 6 |
| Adversarielt eksempel forgifter output | 2 | 4 | 8 |
| Cloud-leverandør-utilgjengelighet | 2 | 4 | 8 |
| Insider-trussel (unauthorized inference) | 2 | 5 | 10 |
## Funn
| ID | Severity | Lokasjon | Anbefaling |
|----|----------|----------|------------|
| S-01 | high | Identity | Aktivér PIM på alle serviceprinciper innen 2026-06-01 |
| S-02 | medium | Data | Aktivér Customer Lockbox for operasjonelle data |
| S-03 | high | Model | Gjennomfør formell red-team-runde med Azure AI Red Team-veiledning |
| S-04 | low | Network | Periodisk verifikasjon av Private Endpoint-konfigurasjon |
| S-05 | medium | Logging | Implementer ML-basert avviksdeteksjon på AI-output-rate |
| S-06 | medium | Vendor | Bestilt third-party penetrasjons-test for Q3 2026 |
## Top-risikoer
| ID | Risiko | Score | Severity |
|----|--------|-------|----------|
| R-01 | Lekkasje av treningsdata | 10 | high |
| R-02 | Insider-trussel (unauthorized inference) | 10 | high |
| R-03 | Prompt injection i forklaringsmodell | 9 | high |
| R-04 | Adversarielt eksempel forgifter output | 8 | medium |
| R-05 | Cloud-leverandør-utilgjengelighet | 8 | medium |
## Kategori-snitt
| Kategori | Snitt |
|----------|-------|
| Identitet og tilgang | 4 |
| Datasikkerhet og personvern | 3 |
| Modell- og prompt-sikkerhet | 3 |
| Nettverk og perimeter | 5 |
| Logging og hendelseshåndtering | 4 |
| Operasjonell og leverandørsikkerhet | 3 |
Restrisiko: 5×4 → 2×3
## Aggregat
Totalscore: 22/30 (73%) — modent men ikke best-i-klassen. Modell- og prompt-sikkerhet er svakeste dimensjon.
Reference in a new issue View git blame Copy permalink