threat-model-generation

Par factory-ai · factory-plugins

Skill complet du plugin security-engineer de Factory : génère un modèle de menaces STRIDE pour un dépôt, produit `.factory/threat-model.md` et `security-config.json`.

npx skills add https://github.com/factory-ai/factory-plugins --skill threat-model-generation

Threat Model Generation

Ce skill fait partie du plugin security-engineer du Factory Plugins Marketplace, le catalogue officiel de plugins pour la plateforme Factory. Il s'agit d'un skill pleinement documenté et fonctionnel, conçu pour être invoqué par un agent Factory (Droid) afin de produire un modèle de menaces structuré pour n'importe quel dépôt de code.

Ce que fait ce skill

Le skill guide l'agent à travers une analyse de sécurité en six étapes : exploration de l'architecture du dépôt, identification des frontières de confiance, inventaire des actifs sensibles, application de la méthodologie STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege), documentation des patterns de vulnérabilités propres à la stack technologique détectée, et enfin génération de deux fichiers de sortie.

Les deux artefacts produits sont .factory/threat-model.md — un document en langage naturel optimisé pour être lu et référencé par d'autres skills LLM — et .factory/security-config.json, un fichier de configuration JSON qui pilote les règles de scan de sécurité (seuils de sévérité, patterns de vulnérabilités activés, contacts de l'équipe sécurité, exigences de conformité comme SOC2, GDPR ou HIPAA).

Quand l'utiliser

Ce skill est pertinent lors de la mise en place initiale de la surveillance sécurité d'un projet, après des changements d'architecture significatifs (nouveaux services, nouvelles APIs), dans le cadre d'un audit de sécurité périodique ou d'une exigence de conformité, ou encore sur demande explicite de l'équipe sécurité. D'autres skills du même plugin (security-review, commit-security-scan, vulnerability-validation) peuvent ensuite s'appuyer sur le threat model généré.

Comment l'invoquer

Depuis un environnement Factory où le plugin security-engineer est installé, il suffit de demander à l'agent de générer un threat model pour le dépôt courant, en précisant optionnellement un répertoire cible, des exigences de conformité ou des contacts sécurité. Le SKILL.md inclut des exemples d'invocations directes ainsi qu'une checklist de vérification à exécuter à l'issue de la génération.

Skills similaires

stride-analysis-patterns
wshobson / agents

Identifier et documenter les menaces de sécurité d'un système via la méthodologie STRIDE.

35 424
security-review
factory-ai / factory-plugins

Auditer le code source en détectant et validant les vulnérabilités selon le modèle STRIDE.

72
threat-model-analyst
github / awesome-copilot

Auditer une base de code avec STRIDE-A, Zero Trust et analyse défense en profondeur.

33 040
threat-modeling
bitwarden / ai-plugins

Modéliser les menaces et rédiger des définitions de sécurité selon le cadre Bitwarden.

101
commit-security-scan
factory-ai / factory-plugins

Analyser les commits et PR pour détecter automatiquement les vulnérabilités de sécurité STRIDE.

72