title: Agentic Accelerator Framework description: 一个综合性框架，利用自定义 GitHub Copilot agents、GitHub Advanced Security 和 Microsoft Defender for Cloud，通过基于 SARIF 的 CI/CD 集成，在安全、无障碍访问、代码质量和 FinOps 领域实现安全与合规的左移。 author: devopsabcs-engineering ms.date: 2026-03-17 ms.topic: overview keywords: - devsecops - github copilot - custom agents - github advanced security - microsoft defender for cloud - sarif - accessibility - finops

Agentic Accelerator Framework

GitHub Advanced Security + GitHub Copilot Custom Agents + Microsoft Defender for Cloud
跨安全、无障碍访问、代码质量、FinOps 和 APM Security 的安全与合规左移

## 概述 Agentic Accelerator Framework 提供了一种可重复的、组织级的方法，利用自定义 GitHub Copilot agents 来实现安全与合规的左移。它涵盖了五个领域 —— 安全、无障碍访问、代码质量、FinOps 和 APM Security —— 并通过 GitHub Actions 和 Azure DevOps 实现基于 SARIF 的 CI/CD 集成。 该框架基于“先左移后扩展”的原则运行： 1. **左移**：自定义 GHCP agents 在提交前于 VS Code (IDE) 中运行，并在 PR 审查期间于 GitHub 平台中运行。 2. **自动化**：CI/CD pipelines (GitHub Actions + Azure DevOps Pipelines) 将相同的控制作为自动化门禁运行。 3. **报告**：所有发现均输出 SARIF v2.1.0 以供统一使用 (GitHub Code Scanning + ADO Advanced Security)。 4. **治理**：Security Overview + Defender for Cloud + Defender for DevOps + Power BI 仪表板提供集中化治理。 ## 架构 ``` graph TB subgraph "Developer Workstation (VS Code)" A[Custom GHCP Agents
Security • A11y • Quality • FinOps] --> B[Pre-screened Code] I[Instructions + Skills] --> A P[Prompt Files] --> A end subgraph "GitHub Platform" B --> C[Pull Request] C --> D[Custom Agents
Coding Agent + Code Review] D --> E[GitHub Actions CI/CD] E --> F[SARIF Results Upload] end subgraph "Security Controls Pipeline" E --> G1[Secrets Scanning - Push Protection] E --> G2[SCA - Dependabot + SBOM] E --> G3[SAST - CodeQL + Copilot Autofix] E --> G4[IaC Scanning - MSDO + Checkov + Trivy] E --> G5[Container Image Scanning] E --> G6[DAST - ZAP] E --> G7[Accessibility - axe-core + IBM] E --> G8[Code Coverage ≥80%] E --> G9[Agent Config - APM audit] G1 & G2 & G3 & G4 & G5 & G6 & G7 & G8 & G9 --> F end subgraph "Centralized Governance" F --> H1[GitHub Security Overview] F --> H2[Microsoft Defender for Cloud] H2 --> H3[Defender for DevOps] H1 --> H4[Security Campaigns + Autofix] end subgraph "Azure Cloud" E --> AZ1[Azure Cost Management APIs] AZ1 --> AZ2[FinOps Governance + Alerting] end ``` ## Agent 清单 (17 个 Agents) | 领域 | Agents | SARIF 类别 | 描述 | |----------------|----------------------------------------------------------------------------------------------------------------|------------------------|-------------------------------------------------------| | **安全** | SecurityAgent, SecurityReviewerAgent, SecurityPlanCreator, PipelineSecurityAgent, IaCSecurityAgent, SupplyChainSecurityAgent (6) | `security/` | 应用和基础设施安全扫描 | | **无障碍访问** | A11yDetector, A11yResolver (2) | `accessibility-scan/` | WCAG 2.2 Level AA 合规检测和修复 | | **代码质量** | CodeQualityDetector, TestGenerator (2) | `code-quality/coverage/` | 代码覆盖率、linting 和测试生成 | | **FinOps** | CostAnalysisAgent, FinOpsGovernanceAgent, CostAnomalyDetector, CostOptimizerAgent, DeploymentCostGateAgent (5) | `finops-finding/v1` | Azure 成本优化和治理 | | **APM Security** | APMSecurityDetector, APMSecurityResolver (2) | `apm-security/` | Agent 配置文件安全扫描 | ## 仓库结构 此仓库使用 `.github-private` 组织级布局，其中 agent 配置目录位于仓库根目录： ``` agents/ ← 15 custom GHCP agent definitions (.agent.md) instructions/ ← Path-specific instruction files (a11y-remediation, code-quality, wcag22-rules) prompts/ ← Reusable prompt templates (a11y-fix, a11y-scan) skills/ ← On-demand domain knowledge (a11y-scan, security-scan) scripts/ ← Agent validation tooling (validate-agents.mjs) apm.yml ← APM dependency manifest mcp.json ← MCP server configuration (ADO work items) .github/ CODEOWNERS ← Mandatory security-team review for agent config paths copilot-instructions.md ← Repo-wide Copilot conventions instructions/ ← Workflow instructions (ado-workflow) skills/ ← Additional skills (docx, pdf, pptx, xlsx, Power BI) workflows/ ← 7 GitHub Actions CI/CD pipelines docs/ ← Framework documentation (9 guides) sample-app/ ← Next.js demo application with Bicep infrastructure samples/ azure-devops/ ← 3 sample ADO pipeline YAML files ``` ## CI/CD 工作流 | 工作流 | 触发器 | 用途 | |---------------------------------|--------------------------------|-------------------------------------------------------------| | `security-scan.yml` | PR 和推送到 `main` | SCA, SAST (CodeQL), IaC, container 和 DAST 扫描 | | `accessibility-scan.yml` | PR 和每周计划 | 具有阈值门控的三引擎 a11y 扫描 | | `code-quality.yml` | PR | Lint、类型检查、测试和 80% 覆盖率门禁 | | `finops-cost-gate.yml` | PR (IaC 文件更改) | 针对 Infracost 月度预算估算 | | `apm-security.yml` | PR (agent 配置文件更改) | 针对 prompt 文件供应链攻击的 APM 审计 | | `ci-full-test.yml` | 推送和 PR 到 `main` | Agent 验证 (结构、交叉引用、领域规则) | | `deploy-to-github-private.yml` | 推送到 `main` | 将 agent 配置同步到组织级 `.github-private` 仓库 | ## 快速入门 1. 克隆此仓库（或将其作为 `.github-private` 用于组织级部署）。 2. 查看 `agents/` 中的 15 个 agent 定义。 3. 根据您组织的标准自定义 `instructions/` 和 `prompts/`。 4. 启用 GitHub Actions 工作流以进行 CI/CD 集成。 5. 使用您的 Azure DevOps 组织详细信息配置 `mcp.json`。 6. 运行 `apm audit` 以验证 agent 配置文件的完整性。 ## 文档 * [架构](docs/architecture.md) — 框架架构和设计模式 * [Agent 模式](docs/agent-patterns.md) — Agent 文件规范和 YAML frontmatter schema * [Agent 可扩展性](docs/agent-extensibility.md) — Plugin 架构、MCP 集成和 APM 依赖管理 * [SARIF 集成](docs/sarif-integration.md) — 所有领域的 SARIF v2.1.0 映射 * [平台比较](docs/platform-comparison.md) — GitHub 与 Azure DevOps 功能比较 * [Azure DevOps Pipelines](docs/azure-devops-pipelines.md) — 每个工作流的 ADO YAML pipeline 等效项 * [集中化治理](docs/centralized-governance.md) — 双平台仪表板和 Defender for Cloud 集成 * [Prompt 文件安全](docs/prompt-file-security.md) — Agent 配置文件的威胁模型和 APM 防御 * [实施路线图](docs/implementation-roadmap.md) — 分阶段推广计划 * [领域对齐与贡献指南](docs/domain-parity-and-contribution.md) — 跨领域功能对齐比较及贡献新领域的指南 ## 标准 * **SARIF v2.1.0**: 用于统一发现输出的 OASIS SARIF 规范 * **WCAG 2.2 Level AA**: W3C 无障碍标准 * **OWASP Top 10**: 应用安全风险 * **OWASP LLM Top 10**: AI/LLM 安全风险 * **CIS Azure Benchmarks, NIST 800-53, PCI-DSS**: 合规框架 ## 研讨会 * [Agentic Accelerator Workshop](https://devopsabcs-engineering.github.io/agentic-accelerator-workshop/) — 使用 Agentic Accelerator Framework 构建和部署自定义 GitHub Copilot agents 的实践研讨会 * [无障碍扫描研讨会](https://devopsabcs-engineering.github.io/accessibility-scan-workshop/) — 使用自定义 agents 进行 WCAG 2.2 Level AA 无障碍扫描和修复的研讨会 * [代码质量扫描研讨会](https://devopsabcs-engineering.github.io/code-quality-scan-workshop/) — 使用 ESLint, Ruff, jscpd, Lizard 和覆盖率工具进行代码质量扫描的研讨会 * [FinOps 扫描研讨会](https://devopsabcs-engineering.github.io/finops-scan-workshop/) — 使用自定义 agents 进行 Azure 成本优化和 FinOps 治理的研讨会 * [APM Security 扫描研讨会](https://devopsabcs-engineering.github.io/apm-security-scan-workshop/) — 包含 Unicode、语义和 MCP 验证引擎的 agent 配置文件安全扫描研讨会 ## 领域仓库 每个领域都有一个扫描器平台仓库 (demo-app) 和一个研讨会模板仓库： | 领域 | 扫描器平台 | 研讨会 | |--------|-----------------|----------| | **无障碍访问** | [accessibility-scan-demo-app](https://github.com/devopsabcs-engineering/accessibility-scan-demo-app) | [accessibility-scan-workshop](https://github.com/devopsabcs-engineering/accessibility-scan-workshop) | | **代码质量** | [code-quality-scan-demo-app](https://github.com/devopsabcs-engineering/code-quality-scan-demo-app) | [code-quality-scan-workshop](https://github.com/devopsabcs-engineering/code-quality-scan-workshop) | | **FinOps** | [finops-scan-demo-app](https://github.com/devopsabcs-engineering/finops-scan-demo-app) | [finops-scan-workshop](https://github.com/devopsabcs-engineering/finops-scan-workshop) | | **APM Security** | [apm-security-scan-demo-app](https://github.com/devopsabcs-engineering/apm-security-scan-demo-app) | [apm-security-scan-workshop](https://github.com/devopsabcs-engineering/apm-security-scan-workshop) | ## DIY：构建新领域 准备好从头构建代码质量领域了吗？该框架包含一个 `DomainScaffolder` agent 和完整的自动化工件，用于生成扫描器 demo-app 和研讨会仓库，并与现有的 Accessibility、Code Quality 和 FinOps 领域保持完全对齐。 请参阅 **[DIY：构建 APM Security 领域](docs/DIY-APM-Security-Domain.md)** 指南，其中涵盖了仓库创建、示例应用开发、SARIF 转换器、研讨会实验、Power BI PBIP 和 ADO pipeline 设置的分步说明。 ## 许可证 该项目基于 [MIT License](LICENSE) 授权。

标签：DevSecOps, FinOps, GitHub Copilot, SARIF, 上游代理, 安全合规, 无障碍设计, 网络代理