Zum Inhalt springen

AI & Automation

Local AI Reviewer

Lokal betriebener KI-Code- und Dokumenten-Reviewer für DORA-konforme Softwareentwicklung. Vollständig offline-fähig und air-gap-kompatibel — kein Cloud-Dependency, keine Datenexfiltration. Automatisiertes Mapping auf DORA Art. 5–16, OWASP Top 10, CSP-Validierung und PII/Secrets-Detection.

Hinweis: Der Local AI Reviewer ist ein Assistenzwerkzeug für Entwickler und Reviewer. Alle Findings sind als Hinweise zu verstehen und ersetzen keine manuelle Code-Review, keinen Penetrationstest und keine formale Auditierung. Die Nutzung erfolgt im Rahmen des organisationsinternen Freigabeprozesses.

Architektur & Ablauf

Vierstufige Verarbeitungspipeline: vom Input über das lokale LLM und die Rule Engine bis zum strukturierten Findings-Report.

1

Input

Code/Dokumente/Config

Quellcode-Repositories, Dokumenten-Uploads (PDF, Markdown), Konfigurationsdateien (.env, CSP, CORS) und SBOM-Manifeste als Eingabe.

2

Locales LLM

Llama/Mistral/Phi via Ollama

Lokal betriebenes Large Language Model über Ollama. Keine Cloud-API — das Modell läuft vollständig on-premises hinter der Firewall.

3

Rule Engine

DORA, CSP, OWASP, PII

Regelbasiertes Post-Processing mit DORA-Art.-5–16-Mapping, OWASP Top 10, CSP-Nonce-Validierung und PII/Secrets-Detektion.

4

Findings Report

Severity, Evidence, Fix

Strukturierter Findings-Report mit Schweregrad (Critical/High/Medium/Low), Code-Evidenz und konkreten Fix-Vorschlägen. JSON/Markdown-Export.

Review-Fähigkeiten

Aktuelle und geplante Analysefähigkeiten des Local AI Reviewers für Code, Dokumente und Konfigurationen.

Fähigkeit Beschreibung Status
Code Security Review OWASP Top 10, SQL injection, XSS detection aktiv
CSP Compliance Check Nonce validation, inline handler detection aktiv
PII/Secrets Detection API keys, tokens, credentials in code aktiv
DORA Control Mapping Maps code to DORA Art. 5–16 controls aktiv
SBOM Vulnerability Correlation Maps CVEs to imported dependencies in Entwicklung
Architecture Diagram Review Validates against Target Architecture geplant
License Compliance OSS license conflict detection aktiv
Configuration Hardening .env, CSP, CORS, session security review aktiv
aktiv in Entwicklung geplant

Privacy & Security

Der Local AI Reviewer wurde von Grund auf für den Einsatz in regulierten Umgebungen mit höchsten Datenschutzanforderungen konzipiert.

Lokale Ausführung

Keine Daten verlassen das Rechenzentrum. Sämtliche Code- und Dokumenten-Analysen erfolgen ausschließlich auf der lokalen Infrastruktur — vollständig air-gap-fähig und ohne externe API-Calls.

Audit Trail

Jeder Review-Lauf wird mit Zeitstempel, verwendetem Modell, Modell-Version und Rule-Engine-Konfiguration revisionssicher protokolliert. Vollständige Nachvollziehbarkeit für Aufsichtsprüfungen.

Human-in-the-Loop

Alle Findings erfordern manuelle Bestätigung durch einen autorisierten Reviewer. Kein automatisches Merging — jedes Finding durchläuft einen 4-Augen-Gate-Prozess vor der Übernahme.

Integration & CLI

Der Reviewer wird über Artisan-Kommandos in die Entwicklungs- und Review-Workflows integriert.

Code-Review mit DORA, CSP und OWASP-Regeln

php artisan review:code --path=app/ --rules=dora,csp,owasp

Dokumenten-Review mit DORA-Regelwerk

php artisan review:document --path=docs/dora-gap-analysis.pdf --rules=dora

Verknüpfte Module

Weiterführende Ressourcen und verwandte Plattform-Module im Kontext des Local AI Reviewers.