cbrkrtek/ai-devsecops-auto-remediation

GitHub: cbrkrtek/ai-devsecops-auto-remediation

一个利用AST验证和本地LLM，在CI/CD流水线中自动分析并修复Trivy与Checkov安全漏洞的DevSecOps自动化引擎。

Stars: 0 | Forks: 0

# 自主 AI 驱动的 DevSecOps 修复引擎 **用于 Trivy 和 Checkov 漏洞的 AST 守护自愈流水线** [![GitHub Stars](https://img.shields.io/github/stars/cbrkrtek/ai-devsecops-auto-remediation?style=for-the-badge&color=f39c12&logo=github)](https://github.com/cbrkrtek/ai-devsecops-auto-remediation/stargazers) [![License](https://img.shields.io/github/license/cbrkrtek/ai-devsecops-auto-remediation?style=for-the-badge&color=3498db&logo=apache)](https://github.com/cbrkrtek/ai-devsecops-auto-remediation/blob/main/LICENSE) [![Built with Docker](https://img.shields.io/badge/Built_with-Docker-2496ED?style=for-the-badge&logo=docker&logoColor=white)](https://www.docker.com/) [![Security: Trivy](https://img.shields.io/badge/Security_Scan-Trivy-blue?style=for-the-badge)](https://github.com/aquasecurity/trivy)

本项目弥合了漏洞检测与即时修复之间的差距。它在您的 CI/CD 流水线中拦截安全扫描报告，使用本地化的大语言模型分析代码上下文，并安全地提交精确、经过验证的修复——消除警报疲劳。

[问题](https://github.com/cbrkrtek/ai-devsecops-auto-remediation/edit/main/README.md#the-problem--the-shift) • [功能特性](#-key-features) • [演示](#how-it-looks-cli-demo) • [架构](#%EF%B8%8F-architecture-flow) • [基准测试](#-enterprise-readiness) • [路线图](#️-strategic-roadmap-vision-2032)

## 问题与转变传统的 DevSecOps 扫描器（**Trivy、Checkov、Grype**）擅长*发现*缺陷，却拙于*修复*它们。安全团队被**警报疲劳**压垮，而开发者则浪费了数千个工程小时来手动升级 Docker 基础镜像和重写 Terraform 清单。 ## ⚡ 核心功能特性 * **AST 守护的完整性：** 与简单的 AI 封装器不同，此引擎在修改前将您的源清单解析为**抽象语法树（AST）**，修改后再次解析，从数学上保证没有 AI 幻觉进入您的代码库。 * **多扫描器接入：** 为 `Trivy`（容器镜像）和 `Checkov`（基础设施即代码）提供原生的高性能解析器。 * **本地优先的 AI 执行：** 零数据泄露。可通过 `Ollama` (Llama-3/Phind) 使用本地化的大语言模型开箱即用，或可扩展以使用 OpenAI/Anthropic 企业 API。 * **GitOps 原生：** 部署为轻量级 GitHub Action 或独立的 CLI 工具，自动生成干净的 Pull Requests。 ## 运行效果（CLI 演示）当您运行脚本时，它会将一个失败的流水线转变为自动修复的成功案例： ``` $ python cmd/main.py --target ./test/vulnerable.Dockerfile --scanner trivy [INFO] Loading AI Remediation Core Engine... [INFO] Executing Trivy Security Scan on target... [WARN] Found X CRITICAL vulnerabilities (CVE-2023-4911, CVE-2024-2961). [AI] Analyzing Abstract Syntax Tree (AST) & context... [AI] Generating precise cryptographic remediation diff... [INFO] Running AST Validation check... PASS. [INFO] Simulating local build validation... SUCCESS. [FIX] Applying patch directly to branch! [DONE] Pull Request #Y created automatically. 0 vulnerabilities remaining. ``` ## 🏗️ 架构流程 ``` graph LR A[📦 CI/CD Trigger / PR] --> B[🔥 Remediation Core] B --> C[🔍 Scanner Ingestion: Trivy/Checkov] C -->|Raw JSON| D[📊 AST Syntax Parser] D -->|Contextual Code Snippet| E[🧠 Secure LLM Agent] E -->|Generated Git Diff| F[🧪 Build & Syntax Validator] F -->|Validation Fails| E F -->|Validation Passes| G[🚀 Auto-Commit / Pull Request] style B fill:#d6eaf8,stroke:#3498db,stroke-width:2px style E fill:#fdebd0,stroke:#e67e22,stroke-width:2px style G fill:#d4efdf,stroke:#27ae60,stroke-width:2px ``` ## 📈 企业就绪性此引擎从第一天设计之初就旨在处理行星规模的基础设施需求： | 能力 | 标准封装器 | 我们的方法 | | :--- | :--- | :--- | | **语言** | 繁重的 Python（冷启动慢） | **优化的异步 Python / Go 核心** | | **数据隐私** | 将代码发送到公共 API | 通过本地 LLM 网格实现 **100% 物理隔离** | | **安全性** | 盲目复制 LLM 输出 | **严格的 AST 验证**（前后检查） | | **扩展性** | 单线程脚本 | 通过 Redis/Celery 实现的 **Worker-Queue 架构** | ## 🗺️ 战略路线图（2032 年愿景） ### 🟢 第一阶段：本地修复引擎（当前） - [ ] 高性能 CLI 框架搭建。 - [ ] 针对 Trivy Dockerfile 目标的原生 JSON AST 解析器。 - [ ] 面向 Llama-3-8B 的确定性提示词工程层。 ### 🟢 第二阶段：编排的生态系统（2027 年第一季度） - [ ] 集成 OAuth 认证的企业级 GitHub Action 应用。 - [ ] Checkov IaC（Terraform/CloudFormation）自愈引擎。 - [ ] 第三方依赖的自动语义化版本验证。 ### 🟢 第三阶段：运行时到源码的自愈（2028 - 2031） - [ ] **eBPF 集成：** 将实时运行时异常（通过 Falco）连接回静态源代码补丁。 ## 📄 许可证基于 Apache 2.0 许可证分发。详情请见 `LICENSE` 文件。 ## ⚠️ 免责声明本项目是一个实验性的、AI 驱动的自动化工具。自主代码修复存在代码修改错误或语法崩溃的固有风险。**在部署到生产环境之前，请务必在预发/沙箱环境中彻底审查和测试所有 AI 生成的 Pull Requests。** 作者对基础设施损坏、安全回退或生产中断不承担任何责任。

标签：Air-gapped LLMs, AI风险缓解, AI驱动安全, AST防护, CVE缓解, DevOps安全, DevSecOps, Web截图, 上游代理, 代码分析, 凭证管理, 大型语言模型, 威胁缓解, 安全扫描, 容器安全, 搜索引擎查询, 时序注入, 漏洞修复, 网络安全培训, 自动化payload嵌入, 自动化修复引擎, 自我修复系统, 请求拦截, 软件供应链安全, 远程方法调用, 逆向工具