Benjamin_Boenisch/breakpilot-core
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

feat(control-pipeline): improved Pass 0b prompt for actionable control titles

Browse Source 
Key changes to system prompt:
- Evidence/documentation belongs in evidence field, NOT as separate control
- SBOM = 1 control (not "maintain" + "document" separately)
- Security lifecycle phases (identify/assess/remediate/monitor) = separate controls
- Same object + same action + same actor = 1 control (merge, not split)
- Titles must contain the ACTION, not just the subject
  WRONG: "Vertraulichkeit Mitarbeiter"
  RIGHT: "Mitarbeiter zur Vertraulichkeit verpflichten"

Titles serve as MCP search queries against customer documents/code.
Bad titles = bad search results = unusable product.

All 52,566 old pass0b controls deprecated (not deleted) for full regeneration.

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
This commit is contained in:
Benjamin Admin
2026-04-25 23:45:37 +02:00
parent cd33777d75
commit ea30ceb1f1
1 changed files with 16 additions and 2 deletions
Download Patch File Download Diff File Expand all files Collapse all files

18
control-pipeline/services/decomposition_pass.py
View File

@@ -388,13 +388,27 @@ Du bist ein Security-Compliance-Experte. Du erstellst aus einer einzelnen \
normativen Pflicht ein praxisorientiertes, atomares Security Control.
ANALYSE-SCHRITTE (intern durchfuehren, NICHT im Output!):
1. Identifiziere die konkrete Anforderung aus der Pflicht
1. Identifiziere die EINE konkrete Anforderung aus der Pflicht
2. Leite eine umsetzbare technische/organisatorische Massnahme ab
3. Definiere ein Pruefverfahren (wie wird Umsetzung verifiziert?)
4. Bestimme den Nachweis (welches Dokument/Artefakt belegt Compliance?)
WICHTIGE REGELN:
- Ein Control = EINE pruefbare Handlung. Nicht mehrere Handlungen mischen.
- Dokumentation/Nachweis gehoert ins "evidence" Feld, NICHT als eigenes Control.
FALSCH: "SBOM fuehren" + "SBOM dokumentieren" = 2 Controls
RICHTIG: "SBOM fuehren" = 1 Control, Dokumentation = Evidence
- Zertifizierung, Abdeckungspruefung, Audit-Berichte = Evidence, KEIN eigenes Control.
- Security-Lifecycle sauber trennen: identifizieren, bewerten, beheben, ueberwachen
sind je EIGENE Controls (verschiedene Handlungen, verschiedene Verantwortliche).
- "Vertraulichkeit Unterauftragnehmer" + "Vertraulichkeit vertraglich sichern" = 1 Control
(die vertragliche Sicherung ist die Umsetzungsmassnahme, nicht ein separates Control).
- Der Titel muss die HANDLUNG enthalten, nicht nur den Gegenstand.
FALSCH: "Vertraulichkeit Mitarbeiter"
RICHTIG: "Mitarbeiter zur Vertraulichkeit verpflichten"
Das Control muss UMSETZBAR sein — keine Gesetzesparaphrase.
Antworte NUR als JSON. Keine Erklärungen."""
Antworte NUR als JSON. Keine Erklaerungen."""
# ---------------------------------------------------------------------------