Ga naar inhoud
monsys.ai

Monthly Audit Pack

Een Audit Pack is een maandelijkse, cryptografisch ondertekende evidence bundle die je auditor verwacht voor NIS2 + CRA + ISO 27001. Eén bestand in plaats van 17 dashboards.

Wat zit er in

Per tenant per kalendermaand produceert de hub twee bestanden + een signatuur sidecar:

/var/lib/monsys/audit-packs/<tenant_id>/2026-04.jsonl.gz   ← machine-leesbaar
/var/lib/monsys/audit-packs/<tenant_id>/2026-04.pdf        ← human-leesbaar
/var/lib/monsys/audit-packs/<tenant_id>/2026-04.sig        ← Ed25519 over manifest_hash

JSONL.gz inhoud (één regel per item):

kindbron
trust_score_snapshotmaandelijkse rollup uit trust_score_snapshots
emergency_tokenalle EAT-executies (nonce, action, exit_code, user)
console_sessionalle interactieve shell-sessies (start, end, operator, reden)
cve_fix_landedCVEs waarvoor in deze maand een fix beschikbaar kwam
alertalle alerts ≥ warning met resolution time
agentactieve agents met version + last_seen
ai_evidence_pack_refhashes + signing-key references van AI evidence packs

PDF secties:

  1. Cover page met tenant-naam, periode, Trust Score-headline
  2. Trust Score breakdown + 30-dag delta
  3. Compliance coverage matrix (NIS2 + CRA + ISO 27001) met % per framework
  4. KEV-listed CVE-table (top 10 op EPSS-score)
  5. EAT-log table (laatste 30 acties met operator + exit code)
  6. Verify appendix met manifest_hash + signature + public_key_id

Verificatie offline

Auditor heeft niets dan de bestanden + onze publieke key nodig. Geen runtime-toegang tot monsys.ai. CLI op get.monsys.ai:

Terminal window
curl -fsSL https://get.monsys.ai/monsys-verify-pack-linux-x64 -o monsys-verify-pack
chmod +x monsys-verify-pack
./monsys-verify-pack 2026-04.jsonl.gz --pubkey <hub-pubkey-hex>
# verify: OK
#   manifest_hash      : 3b8aef...
#   hash_chain_root_ok : true
#   signature_ok       : true
#   bytes              : 124382

Hash chain garandeert dat geen enkele rij in de JSONL.gz is gewijzigd na ondertekening. Signature garandeert dat het pack van onze hub komt (en niet van een aanvaller met een rogue key — zie ook Transparency log).

Genereer-cadence

AuditPackWorker draait op de 1e van elke maand om 02:00 UTC voor elke tenant met ≥ 1 actieve agent. Re-run is idempotent (zelfde maand → row update). Bestaande packs voor afgelopen maanden zijn op de dashboard /audit-packs pagina te downloaden.

Tenant configuratie

Standaard aan voor elke tenant. Geen opt-out — een audit-grade platform zonder audit-pack zou tegenstrijdig zijn. Wel optioneel:

  • MONSYS_HUB_SIGNING_KEY_HEX env var op de hub — zonder dit env var worden packs nog steeds gegenereerd maar zonder Ed25519 signature. Stel altijd in voor productie.

API

GET  /api/v1/audit-packs                    — list van alle packs voor tenant
GET  /api/v1/audit-packs/:id/download?format=jsonl|pdf|sig

Beide vereisen auditor of admin role op de tenant.

Wat het NIET doet

  • Geen real-time bewijs: Audit Pack is een maand-snapshot, niet een live feed. Voor real-time gebruik Trust Score + alerts-tab.
  • Geen tenant-tenant isolation in de bundle: elk pack is per-tenant, maar het kan dependency-info bevatten over packages die ook andere tenants gebruiken (dat is publieke OSV.dev info, niet privé).
  • Geen attestation van compliance zelf: monsys produceert het bewijs, je auditor toetst het tegen de framework-eisen. Wij documenteren mappings in Compliance Coverage.