上一篇文章里,我搭了一套完整的CI流水线:GitHub → Jenkins → SonarQube → Trivy → Nexus → Docker。质量门禁、安全扫描、制品管理都有了。但收尾时我满脑子问号——Trivy生成的安全报告上传到Nexus之后呢?真有人会去翻完整个报告吗?

这篇文章接着往下做,把AI接进DevSecOps流程。

打开网易新闻 查看精彩图片

整个链路是这样的:Jenkins跑完Trivy扫描,报告进Nexus,然后触发n8n的webhook,n8n把报告拽下来,扔给本地跑的Ollama + Phi3分析,最后自动发邮件总结高危漏洞。选Phi3是因为算力有限,小模型够用就行。

架构拆成几步:构建应用 → SonarQube分析 → 质量门禁 → Docker打包 → Trivy扫描 → 报告上传Nexus → 触发AI工作流 → 动态下载报告 → 本地LLM分析 → 邮件推送AI生成的建议。

加这层AI,是想解决我之前的"如果"——安全报告又长又吵,几十条CVE、依赖漏洞混在一起,让人对每条都负责不太公平。AI的作用就是:你帮我读,10秒内告诉我最该担心的10件事。

具体落地:Ollama用Docker镜像本地跑,n8n同样本地Docker部署,整个编排都在n8n里做。Jenkins任务调n8n的webhook,n8n接着拉报告、拼提示词、送Ollama、转换响应、发邮件。

目前能输出转换后的漏洞摘要。下一步是让LLM往初级SRE的方向再练一练。