5bats

Wie man verhindert, dass ein EU-souveräner KI-Entwicklungsstack riskante Pakete installiert

Du hast Dich bewusst für Mistral entschieden. Vielleicht dürfen Deine Daten die EU nicht verlassen; vielleicht schrieb die Ausschreibung einen europäischen Anbieter vor; vielleicht wolltest Du einfach nicht, dass Dein Code und Deine Eingabeaufforderungen auf amerikanischen Servern liegen. Was auch immer der Grund sein mag – Du hast eine bewusste Entscheidung in Bezug auf Souveränität getroffen – darüber, wo Deine KI angesiedelt ist und wer sehen kann, was sie verarbeitet.

Dann führt derselbe Assistent pip install für Dich aus, und die Entscheidung wird stillschweigend außer Kraft gesetzt. Die Pakete, die dabei installiert werden, sind ungeprüft, die Versionen könnten schon Stunden alt sein, und in einer regulierten Umgebung ist eine ungeprüfte Abhängigkeit nicht nur ein Sicherheitsrisiko – sie ist ein Audit-Befund, der nur darauf wartet, entdeckt zu werden. Du hast hohe Anforderungen an die KI gestellt, aber die Pipeline, die sie speist, weit offen gelassen.

mistral-code-cve-gate schließt diese Lücke zu denselben Bedingungen, aus denen Du Dich ursprünglich für Mistral entschieden hast. Es fängt jede Installation ab, die ein auf Mistral basierendes Programmierwerkzeug ausführt, überprüft sie lokal – ganz ohne Dienste von Drittanbietern – und führt ein nachvollziehbares Protokoll über jede Entscheidung.

Das Problem, ganz einfach ausgedrückt

Zwei Dinge machen das für einen Mistral-Nutzer kritischer als für die meisten anderen. Erstens: Sicherheit ist nur so stark wie ihr schwächstes Glied – eine KI, die Du sorgfältig hostest, wird in dem Moment untergraben, in dem der Installationsschritt auf einen Scanning-Dienst anderswo zugreift oder Code einbindet, den niemand überprüft hat. Zweitens: Wenn Du im Finanzwesen, im Gesundheitswesen oder in der Verwaltung arbeitest, ist „Hier weiß eigentlich niemand so richtig, was der Assistent installiert hat“ genau die Art von Satz, die bei einer Prüfung als Beanstandung auftaucht.

Wem passiert das schon?

Europäische Teams, die unter NIS2 oder DORA fallen, alle, die personenbezogene Daten gemäß Artikel 32 der DSGVO verarbeiten, sowie jede Organisation, die sich bewusst für einen KI-Anbieter aus der EU entschieden hat und nun darauf angewiesen ist, dass auch der Rest der Toolchain denselben Standard einhält.

Was „mistral-code-cve-gate“ macht – und wie es funktioniert

Wie mistral-code-cve-gate einen Install lokal prüftEin Install, den ein Mistral-Coding-Tool ausführt, wird lokal gegen Schwachstellen-Feeds geprüft und in einem Audit Log festgehalten — ohne Drittanbieter-Dienst, und lässt nur saubere Pakete durch.Mistral installiertpip · npm · brew …lokales GateChecks + Audit Log,kein SaaSSauber + auditiertEU-souverän
Jeder Install wird auf Deinem eigenen Rechner geprüft und protokolliert — Souveränität bleibt, mit Audit-Trail für Compliance.

The same gate, local and sovereign

Es fängt jede Installation ab, die der Assistent versucht – pip, npm, Composer, Cargo, go, Gem, brew –, ermittelt den vollständigen transitiven Dependency-Baum und gleicht jedes Paket mit NIST NVD, OSV.dev und der GitHub Advisory Database ab, wobei neue pip- und npm-Releases vorrangig berücksichtigt werden. Die Überprüfung läuft auf Deinem Rechner; es wird keine Abhängigkeitsliste an einen externen SaaS-Dienst weitergegeben. (Es nutzt dieselbe Engine und Konfiguration wie claude-code-cve-gate .)

Ein nachprüfbares Protokoll zur Einhaltung der Vorschriften

Jeder Check gibt einen strukturierten JSON-Datensatz über stdout aus, der das oberste Paket und dessen aufgelöste transitive Abhängigkeiten umfasst – genau den Nachweis, den NIS2 (Risikomanagement in der supply chain), DORA (IKT-Risiko) und Artikel 32 der DSGVO (sichere Entwicklungspraktiken) von Dir erwarten.

Installiere es und nutze es

git clone https://github.com/sharkyger/mistral-code-cve-gate.git
cd mistral-code-cve-gate && bash install.sh

install.sh registriert den PreToolUse-Hook. Danach wird jede Installation, die Dein Mistral-Coding-Tool versucht, automatisch überprüft. Die vollständige Konfiguration und der Quellcode sind auf GitHub zu finden: github.com/sharkyger/mistral-code-cve-gate (MIT).

FAQ

Warum gibt es ein eigenes gate für Mistral-Coding-Tools?

Wenn Du Dich aus Gründen der EU-Datensouveränität für Mistral entschieden hast, sollte Deine Installationspipeline diesem Standard entsprechen. „mistral-code-cve-gate“ führt die Überprüfung lokal durch, ohne dass SaaS-Dienste von Drittanbietern ins Spiel kommen. So bleibt die Überprüfung Deiner Abhängigkeiten auf derselben souveränen Grundlage wie die KI selbst.

Wird dabei ein Prüfprotokoll erstellt?

Ja. Jede Paketprüfung gibt einen nachprüfbaren JSON-Datensatz über stdout aus, der das oberste Paket und dessen aufgelöste transitive dependencies umfasst – genau die Art von Nachweis, die NIS2, DORA und Artikel 32 der DSGVO für eine sichere Entwicklung erwarten.

Ist das ein offizielles Mistral-Tool?

Nein. „mistral-code-cve-gate“ ist ein unabhängiges Tool eines Drittanbieters und steht in keiner Verbindung zu Mistral. Es bindet sich in den Erweiterungspunkt „PreToolUse“ des Assistenten ein.

mistral-code-cve-gate ist eines der 5bats supply-chain gates . Für einen Claude Code-Stack übernimmt claude-code-cve-gate dieselbe Aufgabe; für Installationen, die Du selbst durchführst, gibt es gates für Python , PHP und Homebrew .

Siehe Quelle und Setup auf GitHub →

Ratgeber

Vergleich

© 2026 | 5bats
Keine Cookies. Kein Tracking. Keine externen Aufrufe.