Modelli
32openai/gpt-4o-minisrc/lib/chat.ts:23governatometa-llama/Llama-3.1-8Bmodels/local.ggufshadowanthropic/claude-3-7-sonnetapps/agent/index.ts:11governato
Una scansione, senza questionario. Ogni modello, dataset, prompt, agente, server MCP e guardrail catalogato. Il pacchetto di evidenze Allegato IV dell'EU AI Act finisce direttamente nei tuoi artefatti di build.
Sei categorie, ogni elemento ancorato a file e riga. Uno stato segnala i componenti senza model card, senza licenza, senza scope, senza versione.
openai/gpt-4o-minisrc/lib/chat.ts:23governatometa-llama/Llama-3.1-8Bmodels/local.ggufshadowanthropic/claude-3-7-sonnetapps/agent/index.ts:11governatowikipedia-en-2024notebooks/finetune.ipynbgovernatocustomer_chats_v2data/training.parquetshadowhf://glaive/code-instructscripts/data.py:8governatochat-system@v3prompts/system.mdgovernatoextract-piilib/pii.ts:17derivatriage-flow@v7agents/triage.yamlgovernatoLangChain ReActapps/agent/main.pygovernatoLlamaIndex query engineapps/rag/server.tsshadowCustom MCP hostservices/mcp-host/governatomcp://github.local:7001agents/.mcp.jsongovernatomcp://internal-tools.cybeapps/agent/mcp.tomlgovernatomcp://prod-postgresinfra/mcp.ts:42shadowLlama Guard 3 8Binfra/guardrails.ts:9governatoGuardrails AI · OutputParserlib/safety.ts:14governato(none)apps/legacy-agent/assenteOgni scansione emette un report di conformità completo mappato al Regolamento (UE) 2024/1689. Consegnalo al legale, al tuo auditor o al questionario di sicurezza del tuo cliente.
Uno o più componenti vietati o ad alto rischio rilevati. Rivedere §4: azione richiesta prima del deployment.
| Componente | Tipo | Rischio |
|---|---|---|
acme/behavioral-social-scor-v2 | Modello ML | Vietato |
acme/credit-scorer-v2 | Modello ML | Alto |
acme/customer-chatbot-v4 | Modello ML | Limitato |
openai/gpt-4o-mini | Modello ML | Minimo |
anthropic/claude-sonnet-4-5 | Modello ML | Minimo |
+166 altri componenti nel report completo
Aggiungi la cybedefend-action al tuo workflow GitHub, oppure chiama la CybeDefend CLI da qualsiasi altra pipeline. La scansione AI-BOM gira ad ogni push e la build fallisce quando un nuovo componente vietato o ad alto rischio entra senza documentazione di governance.
- name: CybeDefend Security Scan
uses: CybeDefend/cybedefend-action@v2
with:
pat: ${{ secrets.CYBEDEFEND_PAT }}
project_id: ${{ secrets.CYBEDEFEND_PROJECT_ID }}
branch: ${{ github.ref_name }}
break_on_severity: highTre motivi per mettere AI-BOM all'inizio del processo di governance, non in coda.
Ogni modello, dataset, prompt, agente, server MCP e guardrail rilevato automaticamente. Niente questionario, niente foglio di calcolo, niente giro di interviste per team.
Ogni sezione dell'Allegato IV ha la sua regola di emissione. La documentazione Articolo 11 passa da progetto trimestrale ad artefatto di CI.
Ogni componente è etichettato contro Govern / Map / Measure / Manage. Il report di mapping si esporta accanto al SBOM.
Modelli richiamati per nome (ID HuggingFace, stringhe modello OpenAI / Anthropic / Google, pesi locali .gguf / .onnx), dataset citati nel codice o nella configurazione, prompt versionati presenti nel repo, URL di server MCP usati dai tuoi agenti, grafi LangChain e LlamaIndex, framework di orchestrazione di agenti (Semantic Kernel, AutoGen, CrewAI, ReAct custom) e librerie di guardrail in uso (Llama Guard, NeMo, Guardrails AI). Ogni elemento entra nell'inventario con la sua posizione nel codice sorgente, la versione fissata e una classificazione euristica.
L'Articolo 11 e l'Allegato IV dell'EU AI Act richiedono un pacchetto di documentazione tecnica per i sistemi IA ad alto rischio prima che entrino nel mercato UE. Quel pacchetto elenca modelli, fonti dei dati di addestramento, uso previsto, metriche di performance e misure di gestione del rischio. AI-BOM produce le evidenze in formato leggibile da macchina, così la fase di documentazione diventa un export invece di un progetto trimestrale.
Aggiungi la cybedefend-action al tuo workflow GitHub, oppure chiama la CybeDefend CLI da qualsiasi altra pipeline (GitLab CI, Jenkinsfile, Tekton). La scansione gira ad ogni push, il report viene pubblicato come artefatto di build e il gate esce con codice non-zero quando un nuovo componente vietato o ad alto rischio entra senza documentazione di governance.
Lo SBOM elenca componenti software e CVE. AI-BOM elenca i componenti IA e i loro aspetti di governance specifici dell'IA: origine dei dati di addestramento, lineage del fine-tuning, versioni dei prompt, ambito delle capacità degli agenti, copertura dei guardrail, rischio residuo. Sono complementari: CybeDefend produce entrambi, e l'output AI-BOM è esportabile anche in CycloneDX così da inserirsi nei tuoi strumenti SBOM esistenti.
No. La scansione legge il tuo repository e produce un inventario strutturato; il codice sorgente non lascia il tuo ambiente. Il dashboard opzionale riceve solo metadati (nomi di componenti, versioni, classificazione di rischio), mai codice grezzo o contenuto dei prompt.
Prima scansione gratuita. Senza carta. Il pacchetto di evidenze compare in ./.ai-bom/ prima che il tuo caffè sia pronto.