治理 Govern
AIAM + 4 框架合規報告
今天:audit-logger.ts(143 行,完整實作)· admin 儀表板 pagination/filter · client_keys table · OWASP Agentic Top 10 對應 10/10 類別、77 條規則連結 · NIST AI RMF 100% 對應(1,566 個 mapping,ATR v2.1.0)· Migrator Enterprise 自動標註 EU AI Act + ISO 42001 · 2026 Q2:pga report 整合所有框架 · 2026 Q3:AIAM + SOC2 Type 1 認證目標。
這一層做什麼
L7 治理是合規團隊與稽核員看的東西。今天:每個 admin 動作的稽核日誌(actor、IP、時間戳)、client key 註冊 + 撤銷、OWASP Agentic Top 10 對應(10/10)、NIST AI RMF 100% 對應(1,566 個 mapping,於 ATR v2.1.0 上線)、EU AI Act + ISO 42001 metadata 由 Migrator Enterprise 自動標註。2026 Q2:`pga report --framework <name>` 產出每條規則對應的 Markdown / PDF 報告。2026 Q3:AIAM — agent 身分、scope、委派。
為什麼需要
隨著 EU AI Act 逐步生效,F500 RFP 要的是每條規則對應框架的 mapping,不只是「我們有掃」。稽核員要「偵測到事件 → 觸發規則 → 控制條文」的路徑。合規團隊要 SOC2 Type II 認證。我們公開誠實時程並承諾做到。
技術做法
今天:threat-cloud/src/audit-logger.ts 加上 audit_log SQLite migration v2-v3。ATR v2.1.0 規則內建 `compliance.nist_ai_rmf` metadata 區塊(1,566 個 mapping)。Migrator Enterprise 在規則轉換時自動標註 EU AI Act 條文與 ISO 42001 條款。2026 Q2:`pga report` 讀規則 YAML + TC 稽核日誌,產 Markdown / PDF 報告。2026 Q3:AIAM package(panguard-auth)— OAuth 2.0 device flow、JWT issue/verify、policy evaluator。
立即試用
今天就檢查感測器註冊與稽核日誌狀態:
pga sensor status這一層攔下的攻擊
具體威脅,具體對策
未授權 admin 動作
高稽核日誌記下每次規則 create / delete / proposal approve 的 actor + IP — 即便 admin 帳號被劫持,鑑識 trail 仍保留。
合規認證缺口
中沒有每條規則的框架對應,稽核員無法驗證 EU AI Act Article 9 風險控制 → 2026 Q2 修。