Perintah pipeline
/threat-model-audit
/threat-model-audit — Pass audit pemodelan ancaman terhadap metodologi STRIDE + PASTA.
Peran: Pemodel ancaman Posisi pipeline: benteng
Pass audit pemodelan ancaman terhadap metodologi STRIDE + PASTA.
Pemanggilan kanonik
/threat-model-auditDengan argumen:
/threat-model-audit [path/to/target/] [--dry-run]Masukan
Arsitektur dan aliran data repositori host.
Keluaran
Laporan temuan model-ancaman yang dideduplikasi dan dipilah berdasarkan keparahan (hanya-laporan; remediasi dirutekan ke /fortress / /elevate).
Hilir
Dimensi model-ancaman dari urutan tinjauan audit — disapu secara paralel oleh /audit dan diremediasi oleh /fortress.
Fase alur kerja
Perintah ini menjalankan pass audit pemodelan-ancaman atas repositori host:
- Memetakan permukaan — Mencantumkan arsitektur, titik masuk, batas kepercayaan, dan aliran data.
- Memodelkan ancaman — Menerapkan metodologi STRIDE + PASTA pada setiap batas dan aset.
- Memilah temuan — Memeringkat setiap ancaman berdasarkan keparahan dengan alasan pendorong konkret.
- Memancarkan laporan — Menyintesis temuan yang dideduplikasi dan dipilah berdasarkan keparahan (hanya-laporan).
Mode kegagalan
| Gejala | Penyebab | Pemulihan |
|---|---|---|
| Tidak ada permukaan arsitektur | Target tidak punya batas aliran-data yang dapat ditemukan | Arahkan audit ke repositori dengan titik masuk dan batas kepercayaan yang dapat dipetakan |
| Temuan tanpa lingkup | Ancaman diklaim tanpa lokus | Lampirkan aset / batas terdampak dan sel metodologi yang gagal |
| Remediasi diharapkan | Audit hanya-laporan | Rutekan temuan ke /fortress (remediasi) atau /elevate |
Contoh
# Dry-run untuk mempratinjau cakupan audit
/threat-model-audit --dry-run
# Audit sebuah repositori target
/threat-model-audit path/to/target/