
Atelier de modélisation des menaces
Construisez des revues de sécurité structurées, de la découverte des menaces à la planification des atténuations. Ce plugin aide les équipes à cartographier les chemins d'attaque, à extraire des exigences de sécurité concrètes et à transformer les risques en contrôles priorisés.
Installer
Exécutez cette commande pour installer toutes les compétences de ce pack :
npx skillstore add @threat-modeling-workbench La CLI détecte automatiquement les dossiers Codex et Claude Code et installe la compétence dans les deux lorsqu’ils sont disponibles.
Aperçu
Guide d’utilisation
Amélioré par l’IAGuide détaillé
## Vue d'ensemble Threat Modeling Workbench offre aux équipes de sécurité et aux développeurs un workflow structuré de bout en bout — de la cartographie des objectifs de l'attaquant au déploiement de contrôles testés. Il combine la construction d'arbres d'attaque, l'extraction d'exigences de sécurité et la cartographie des atténuations des menaces en un plugin cohérent, afin que rien ne passe à travers les mailles du filet entre la découverte et la remédiation. ## Démarrage rapide 1. **Cartographier les chemins d'attaque** — Utilisez `attack-tree-construction` pour visualiser comment un attaquant pourrait atteindre une cible. Décrivez le système et l'objectif de l'attaquant ; la compétence le décompose en un arbre structuré de sous-objectifs et de conditions. 2. **Extraire les exigences** — Alimentez la sortie de l'arbre dans `security-requirement-extraction`. Elle traduit chaque nœud de menace en exigences de sécurité concrètes et testables, ainsi qu'en user stories que votre équipe d'ingénierie peut traiter immédiatement. 3. **Prioriser les contrôles** — Exécutez `threat-mitigation-mapping` sur la liste des exigences. La compétence connecte chaque menace à un contrôle approprié, évalue la priorité de remédiation et produit un plan que votre équipe peut suivre. ## Commandes clés - **attack-tree-construction** — Construit un arbre de menaces visuel pour un objectif d'attaquant ou une limite système donnée ; idéal pour les revues d'architecture et la communication avec les parties prenantes. - **security-requirement-extraction** — Transforme les descriptions brutes de menaces en exigences de sécurité structurées, critères d'acceptation et cas de test. - **threat-mitigation-mapping** — Associe les menaces aux contrôles NIST/CIS ou aux atténuations personnalisées ; produit un backlog de remédiation priorisé prêt pour la planification de sprint. ## Conseils - Exécutez les trois compétences en séquence pour une revue de menaces complète : arbre → exigences → atténuations.- Associez-les à un plugin de conformité (par exemple, SOC 2 ou ISO 27001) pour référencer automatiquement les exigences extraites par rapport aux cadres de contrôle. - Utilisez `attack-tree-construction` tôt dans la phase de conception pour détecter les risques au niveau de l'architecture avant qu'ils n'atteignent la production.
Compétences
3attack-tree-construction
Sûr 81Cartographier les chemins d’attaque avec des arbres d’attaque
Les équipes de sécurité ont besoin d’un moyen clair d’expliquer comment les attaquants peuvent atteindre des objectifs sensibles. Cette skill crée des arbres d’attaque structurés avec des chemins, des attributs, des mesures d’atténuation et des formats d’export.
security-requirement-extraction
Sûr 81Extraire les exigences de sécurité
Les modèles de menace s’arrêtent souvent aux risques sans travail de mise en œuvre clair. Cette compétence convertit les menaces, les besoins de conformité et le contexte métier en exigences de sécurité testables.
threat-mitigation-mapping
Risque faible 77Associer les menaces aux contrôles de sécurité
Les équipes de sécurité ont souvent du mal à relier les menaces identifiées à des contrôles pratiques et à des plans de remédiation mesurables. Cette compétence aide Claude, Codex et Claude Code à structurer la couverture des mesures d’atténuation, les lacunes, les priorités et les feuilles de route.
Packs similaires

OpenClaw Moniteur de Sécurité
Analyse de sécurité automatisée, analyse des vulnérabilités et revue de sécurité du code pour les actifs autorisés
3 compétences

Porte de publication front-end
Un workflow de pré-publication pour les changements axés sur l'interface utilisateur qui détecte les flux cassés, les régressions de lint/types et les problèmes de sécurité évidents avant la publication.
3 compétences

Suite d'Évaluation de Sécurité
Boîte à outils complète de tests de sécurité pour applications web. Couvre l'analyse de vulnérabilités, les tests de contrôle d'accès et l'évaluation de sécurité SSH.
3 compétences