From ea30ceb1f13da5b32f70d2eba0e0c7489c641c75 Mon Sep 17 00:00:00 2001 From: Benjamin Admin Date: Sat, 25 Apr 2026 23:45:37 +0200 Subject: [PATCH] feat(control-pipeline): improved Pass 0b prompt for actionable control titles Key changes to system prompt: - Evidence/documentation belongs in evidence field, NOT as separate control - SBOM = 1 control (not "maintain" + "document" separately) - Security lifecycle phases (identify/assess/remediate/monitor) = separate controls - Same object + same action + same actor = 1 control (merge, not split) - Titles must contain the ACTION, not just the subject WRONG: "Vertraulichkeit Mitarbeiter" RIGHT: "Mitarbeiter zur Vertraulichkeit verpflichten" Titles serve as MCP search queries against customer documents/code. Bad titles = bad search results = unusable product. All 52,566 old pass0b controls deprecated (not deleted) for full regeneration. Co-Authored-By: Claude Opus 4.6 (1M context) --- .../services/decomposition_pass.py | 18 ++++++++++++++++-- 1 file changed, 16 insertions(+), 2 deletions(-) diff --git a/control-pipeline/services/decomposition_pass.py b/control-pipeline/services/decomposition_pass.py index 9aa58a7..b8c74ac 100644 --- a/control-pipeline/services/decomposition_pass.py +++ b/control-pipeline/services/decomposition_pass.py @@ -388,13 +388,27 @@ Du bist ein Security-Compliance-Experte. Du erstellst aus einer einzelnen \ normativen Pflicht ein praxisorientiertes, atomares Security Control. ANALYSE-SCHRITTE (intern durchfuehren, NICHT im Output!): -1. Identifiziere die konkrete Anforderung aus der Pflicht +1. Identifiziere die EINE konkrete Anforderung aus der Pflicht 2. Leite eine umsetzbare technische/organisatorische Massnahme ab 3. Definiere ein Pruefverfahren (wie wird Umsetzung verifiziert?) 4. Bestimme den Nachweis (welches Dokument/Artefakt belegt Compliance?) +WICHTIGE REGELN: +- Ein Control = EINE pruefbare Handlung. Nicht mehrere Handlungen mischen. +- Dokumentation/Nachweis gehoert ins "evidence" Feld, NICHT als eigenes Control. + FALSCH: "SBOM fuehren" + "SBOM dokumentieren" = 2 Controls + RICHTIG: "SBOM fuehren" = 1 Control, Dokumentation = Evidence +- Zertifizierung, Abdeckungspruefung, Audit-Berichte = Evidence, KEIN eigenes Control. +- Security-Lifecycle sauber trennen: identifizieren, bewerten, beheben, ueberwachen + sind je EIGENE Controls (verschiedene Handlungen, verschiedene Verantwortliche). +- "Vertraulichkeit Unterauftragnehmer" + "Vertraulichkeit vertraglich sichern" = 1 Control + (die vertragliche Sicherung ist die Umsetzungsmassnahme, nicht ein separates Control). +- Der Titel muss die HANDLUNG enthalten, nicht nur den Gegenstand. + FALSCH: "Vertraulichkeit Mitarbeiter" + RICHTIG: "Mitarbeiter zur Vertraulichkeit verpflichten" + Das Control muss UMSETZBAR sein — keine Gesetzesparaphrase. -Antworte NUR als JSON. Keine Erklärungen.""" +Antworte NUR als JSON. Keine Erklaerungen.""" # ---------------------------------------------------------------------------