पाइपलाइन कमांड
/threat-model-audit
/threat-model-audit — STRIDE + PASTA पद्धतियों के विरुद्ध थ्रेट-मॉडलिंग ऑडिट पास।
भूमिका: थ्रेट मॉडलर पाइपलाइन स्थिति: फ़ोर्ट्रेस
STRIDE + PASTA पद्धतियों के विरुद्ध थ्रेट-मॉडलिंग ऑडिट पास।
विहित आह्वान
/threat-model-auditतर्कों के साथ:
/threat-model-audit [path/to/target/] [--dry-run]इनपुट
होस्ट रिपॉज़िटरी की आर्किटेक्चर और डेटा फ़्लो।
आउटपुट
एक अपवर्जित-दोहराव-हटाई गई, गंभीरता-वर्गीकृत थ्रेट-मॉडल निष्कर्ष रिपोर्ट (केवल-रिपोर्ट; उपचार /fortress / /elevate को मार्गित होता है)।
अनुप्रवाह
ऑडिट समीक्षा अनुक्रम का थ्रेट-मॉडल आयाम — /audit द्वारा समानांतर में सर्वेक्षित और /fortress द्वारा उपचारित।
वर्कफ़्लो फ़ेज़
यह कमांड होस्ट रिपॉज़िटरी पर एक थ्रेट-मॉडलिंग ऑडिट पास चलाता है:
- सतह मानचित्रित करें — आर्किटेक्चर, प्रवेश-बिंदु, विश्वास-सीमाएँ, और डेटा फ़्लो की गणना करें।
- थ्रेट मॉडल करें — प्रत्येक सीमा और परिसंपत्ति पर STRIDE + PASTA पद्धतियाँ लागू करें।
- निष्कर्षों का वर्गीकरण करें — प्रत्येक थ्रेट को ठोस-चालक तर्क के साथ गंभीरता के अनुसार क्रमबद्ध करें।
- रिपोर्ट उत्सर्जित करें — अपवर्जित-दोहराव-हटाए गए, गंभीरता-वर्गीकृत निष्कर्षों को संश्लेषित करें (केवल-रिपोर्ट)।
विफलता मोड
| लक्षण | कारण | पुनर्प्राप्ति |
|---|---|---|
| कोई आर्किटेक्चर सतह नहीं | लक्ष्य में कोई खोज-योग्य डेटा-फ़्लो सीमाएँ नहीं | ऑडिट को मानचित्रित-योग्य प्रवेश-बिंदुओं और विश्वास-सीमाओं वाली रिपॉज़िटरी पर इंगित करें |
| बिना दायरे का निष्कर्ष | थ्रेट बिना किसी स्थल के दावा किया गया | प्रभावित परिसंपत्ति / सीमा और जिस पद्धति-कोष्ठ में वह विफल होती है उसे संलग्न करें |
| उपचार अपेक्षित | ऑडिट केवल-रिपोर्ट है | निष्कर्षों को /fortress (उपचार) या /elevate को मार्गित करें |
उदाहरण
# ऑडिट दायरे का पूर्वावलोकन करने के लिए Dry-run
/threat-model-audit --dry-run
# एक लक्ष्य रिपॉज़िटरी का ऑडिट करें
/threat-model-audit path/to/target/