AI & Automation
Local AI Reviewer
Lokal betriebener KI-Code- und Dokumenten-Reviewer für DORA-konforme Softwareentwicklung. Vollständig offline-fähig und air-gap-kompatibel — kein Cloud-Dependency, keine Datenexfiltration. Automatisiertes Mapping auf DORA Art. 5–16, OWASP Top 10, CSP-Validierung und PII/Secrets-Detection.
Architektur & Ablauf
Vierstufige Verarbeitungspipeline: vom Input über das lokale LLM und die Rule Engine bis zum strukturierten Findings-Report.
Input
Code/Dokumente/Config
Quellcode-Repositories, Dokumenten-Uploads (PDF, Markdown), Konfigurationsdateien (.env, CSP, CORS) und SBOM-Manifeste als Eingabe.
Locales LLM
Llama/Mistral/Phi via Ollama
Lokal betriebenes Large Language Model über Ollama. Keine Cloud-API — das Modell läuft vollständig on-premises hinter der Firewall.
Rule Engine
DORA, CSP, OWASP, PII
Regelbasiertes Post-Processing mit DORA-Art.-5–16-Mapping, OWASP Top 10, CSP-Nonce-Validierung und PII/Secrets-Detektion.
Findings Report
Severity, Evidence, Fix
Strukturierter Findings-Report mit Schweregrad (Critical/High/Medium/Low), Code-Evidenz und konkreten Fix-Vorschlägen. JSON/Markdown-Export.
Review-Fähigkeiten
Aktuelle und geplante Analysefähigkeiten des Local AI Reviewers für Code, Dokumente und Konfigurationen.
| Fähigkeit | Beschreibung | Status |
|---|---|---|
| Code Security Review | OWASP Top 10, SQL injection, XSS detection | aktiv |
| CSP Compliance Check | Nonce validation, inline handler detection | aktiv |
| PII/Secrets Detection | API keys, tokens, credentials in code | aktiv |
| DORA Control Mapping | Maps code to DORA Art. 5–16 controls | aktiv |
| SBOM Vulnerability Correlation | Maps CVEs to imported dependencies | in Entwicklung |
| Architecture Diagram Review | Validates against Target Architecture | geplant |
| License Compliance | OSS license conflict detection | aktiv |
| Configuration Hardening | .env, CSP, CORS, session security review | aktiv |
Privacy & Security
Der Local AI Reviewer wurde von Grund auf für den Einsatz in regulierten Umgebungen mit höchsten Datenschutzanforderungen konzipiert.
Keine Daten verlassen das Rechenzentrum. Sämtliche Code- und Dokumenten-Analysen erfolgen ausschließlich auf der lokalen Infrastruktur — vollständig air-gap-fähig und ohne externe API-Calls.
Jeder Review-Lauf wird mit Zeitstempel, verwendetem Modell, Modell-Version und Rule-Engine-Konfiguration revisionssicher protokolliert. Vollständige Nachvollziehbarkeit für Aufsichtsprüfungen.
Alle Findings erfordern manuelle Bestätigung durch einen autorisierten Reviewer. Kein automatisches Merging — jedes Finding durchläuft einen 4-Augen-Gate-Prozess vor der Übernahme.
Integration & CLI
Der Reviewer wird über Artisan-Kommandos in die Entwicklungs- und Review-Workflows integriert.
Code-Review mit DORA, CSP und OWASP-Regeln
php artisan review:code --path=app/ --rules=dora,csp,owasp
Dokumenten-Review mit DORA-Regelwerk
php artisan review:document --path=docs/dora-gap-analysis.pdf --rules=dora
Verknüpfte Module
Weiterführende Ressourcen und verwandte Plattform-Module im Kontext des Local AI Reviewers.