Compétence Audit d'Intégrité
Assure la qualité des résultats, l'honnêteté intellectuelle et l'amélioration continue dans tous les agents AppSec.
Quand utiliser
- À chaque exécution d'analyse de sécurité, revue de code, modèle de menace ou scan de qualité
- Appliquée automatiquement comme portail de contrôle qualité post-analyse
- Applicable à tout agent effectuant de l'analyse SAST, SCA, modélisation de menaces ou analyse de qualité de code
Composants
Cette compétence fournit 7 capacités réutilisables. Les agents appliquent les 7 sauf si leur périmètre exclut un composant spécifique.
| Composant | Fichier de référence | Objectif |
|---|---|---|
| Protocole de Clarification | clarification-protocol.md | Poser ≤2 questions ciblées avant l'analyse si le périmètre est ambigu |
| Garde Anti-Rationalisation | anti-rationalization-guard.md | Tableau des rationalisations interdites avec réponses obligatoires |
| Boucle d'Autocritique | self-critique-loop.md | Examen obligatoire en deuxième passage après l'analyse initiale |
| Protocole de Retry | retry-protocol.md | Gestion des défaillances d'outil — relancer une fois, puis documenter |
| Comportements Non-Négociables | non-negotiable-behaviors.md | Règles strictes : ne jamais inventer, toujours citer les preuves, signaler les lacunes |
| Portail de Contrôle Qualité Autoréflexif | self-reflection-quality-gate.md | Échelle de cotation 1–10 avec seuil ≥8 par catégorie |
| Système d'Auto-Apprentissage | self-learning-system.md | Modèles de Leçon/Mémoire et règles de gouvernance |
Flux d'Exécution
- Avant l'analyse : Appliquer le Protocole de Clarification si le périmètre est ambigu
- Pendant l'analyse : Appliquer la Garde Anti-Rationalisation à chaque point de décision
- Après le premier passage : Exécuter la Boucle d'Autocritique (deuxième passage obligatoire)
- En cas de défaillance d'outil : Appliquer le Protocole de Retry
- Avant la livraison : Exécuter le Portail de Contrôle Qualité Autoréflexif (toutes les catégories doivent scorer ≥8)
- Après la livraison : Créer des Leçons/Mémoires pour les conclusions novatrices, les faux positifs ou les lacunes méthodologiques (voir Système d'Auto-Apprentissage)
Adaptation Spécifique à l'Agent
Chaque agent personnalise la liste de contrôle de la Boucle d'Autocritique et les catégories du Portail de Contrôle Qualité Autoréflexif pour correspondre à son domaine. Les fichiers de référence fournissent les modèles de base ; les agents les complètent avec des éléments spécifiques au domaine.
Exemples d'extensions par type d'agent
- Agents SAST/SCA : Ajouter les vérifications d'exhaustivité des traces de taint et de couverture des manifests
- Agents de style SonarQube : Ajouter la vérification de cohérence des notes (A–E en accord avec les conclusions)
- Agents de modélisation de menaces : Ajouter l'exhaustivité des catégories STRIDE par limite de confiance
- Agents de revue de code : Ajouter l'audit des limites de confiance avec traçage du flux de données