Gate CLI + GitHub Action
Antecipa o teste de segurança LLM pro shift-left. A CLI `doesitdefend` e a GitHub Action autenticam com uma chave de API didk_, escopam a execução pelo diff (system_prompt / tools / lista watch do .doesitdefend.yml) e postam o veredicto como check + comentário do PR em minutos.
Pontos-chave
- Chaves didk_ são escopadas por tenant e revogáveis em /settings/api-keys.
- Seleção de probes consciente do diff: só rodam as categorias OWASP que a mudança encosta, mantendo o CI rápido.
- Modos de veredicto: regression (padrão: falha só em queda real de postura), findings (qualquer descoberta nova falha), never (apenas consultivo).
- Comentário do PR é idempotente: re-execuções sobrescrevem o anterior em vez de empilhar.
01
Setup (5 minutos)
- Crie uma didk_ em /settings/api-keys e guarde como segredo DOESITDEFEND_API_KEY do repo.
- Adicione .doesitdefend.yml na raiz declarando target.endpoint + arquivos de prompt observados.
- Use a GitHub Action em .github/workflows/, ou rode doesitdefend scan de qualquer CI.
02
O que aparece no PR
- Check run no GitHub com título (Baseline registrada / Regressão detectada / Melhoria).
- Comentário idempotente com a categoria diff-selecionada e evidência por descoberta.
- Baseline escolhido automaticamente da execução mais recente no mesmo alvo nos últimos 30 dias (BASELINE_MAX_AGE_DAYS).