Проведение полных сканирований

1. Для реализации полной проверки модели машинного обучения, хранящейся в локальной директории, необходимо на боковой панели развернуть вкладку Полный чек-ап → Модели МО.

   На странице Сканирование оффлайн модели машинного обучения необходимо указать директорию с моделями машинного обучения (например, http://172.16.68.11:8444), выбрать дополнительные файлы, к которым относятся пайплайн (pipeline.py) и экземпляр (example.xlsx), затем выбрать профиль сканирования Полный и нажать на кнопку Сканировать.

   После завершения сканирования осуществляется переход на страницу с результатами сканирования «Информация о сканировании модели».

2. Для реализации полной проверки модели машинного обучения, хранящейся в докер-контейнере, необходимо развернуть вкладку Полный чек-ап → Docker.

   В новом окне Docker для сканирования находятся раздел Мониторинг, в котором можно посмотреть доступные модели для сканирования, которые развернуты в «песочнице», и раздел Сканирование (запуск сканера для моделей), в данном разделе необходимо нажать на кнопку .

   На странице Сканирование оффлайн модели машинного обучения необходимо выбрать модель машинного обучения для сканирования (например, fastapi-docker:latest) и Тип модели (например, интеллектуальная поддержка решений).

   Далее выбрать дополнительные файлы (api.txt и data.json), содержание которых представлено в таблице ниже, подготовленные для разных моделей машинного обучения, а также указать Профиль сканирования (AppSecAI) и нажать на кнопку Сканирование.

   Профиль сканирования для всех типов моделей, кроме распознавания и синтеза речи, необходимо указывать как AppSecAI, а для акустики – AppSecAI_AUDIO.

   Содержание файлов api.txt и data.json:

   Файл	Назначение	Формат / правила	Типичные ошибки и способы проверки
   api.txt	Список относительных HTTP-эндпоинтов модели, к которым система будет отправлять запросы. Позволяет тестировать не только стандартный /predict, но и, например, /classify, /health, /v1/predict и т.д.	- Обычный текстовый файл UTF-8. - Каждый эндпоинт на отдельной строке. - Без домена и протокола, только путь: /predict, /v1/predict/image ...	- Пустые строки / пробелы ⇒ система видит «пустой путь» и получает 404.
   data.json	Пример входных данных (payload) для POST-запроса. Используется для эмуляции реального запроса к модели.	Валидный JSON. Корневой элемент: - объект — один пример; - массив — несколько примеров (каждый отправляется отдельным запросом). Ключи и типы значений должны соответствовать ожиданиям модели.	- Невалидный JSON (лишняя запятая, кавычки) ⇒ 400 Bad Request. - Отсутствует обязательное поле ⇒ 422 Unprocessable Entity или внутренняя ошибка модели. - Неверный тип (строка ↔ число) ⇒ возможен 500 от модели. Проверка: 1) Проверка синтаксиса: python -m json.tool data.json. 2) Пробный запрос: curl / Postman к эндпоинту из api.txt.

   После завершения сканирования пользователь перенаправляется на страницу с детальным отчетом, в котором отображается следующая информация (подробнее см. в п. 4.5):

   • Статус модели (уязвима/неуязвима).
   • Описание обнаруженных проблем.
   • Уровень риска (на основе шкалы DREAD или аналогичной).

   Также реализована функция формирования результатов сканирования в виде PDF-файла, DOCX-отчёта и лог-файла, см. раздел «Форматы отчетов о результатах сканирования».

3. Для реализации полной проверки модели машинного обучения, по IP-адресу, необходимо развернуть вкладку Полный чек-ап → По IP.

   На странице Демо сканирование моделей машинного обучения заполнить форму исходных данных: Укажите адрес приложения (IP-адрес и порт, например, http://172.16.70.11:8444), Выберите тип модели (например, большие языковые модели), дополнительные файлы, которые также как и в предыдущем пункте подготовлены для разных моделей машинного обучения. Далее необходимо указать Профиль сканирования (AppSecAI, для распознавания и синтеза речи – AppSecAI_AUDIO) и нажать на кнопку Сканирование.

   После завершения сканирования пользователь перенаправляется на страницу с отчетом, в котором отображается информация, аналогичная указанной для проверки модели машинного обучения, хранящейся в докер-контейнере (подробнее см. в п. 4.5).

   Также реализована функция формирования результатов сканирования в виде PDF-файла, DOCX-отчёта и лог-файла, см. раздел «Форматы отчетов о результатах сканирования».