security-threat-model

Skill do tworzenia profesjonalnych modeli zagrożeń opartych na rzeczywistej strukturze repozytorium. Analizuje granice zaufania, zasoby, możliwości atakujących i ścieżki ataku, a następnie generuje zwięzły raport w Markdown. Przeznaczony dla zespołów AppSec, którzy chcą ocenić bezpieczeństwo kodu bez generycznych checklist — każde stwierdzenie jest zakotwiczone w faktycznym kodzie.

1. Przygotuj repozytorium do analizy, określając ścieżkę główną i ewentualne podścieżki, które chcesz objąć modelowaniem. Zbierz informacje o zamierzonym użytkowaniu, modelu wdrażania (serwer, CLI, biblioteka), ekspozycji na internet i wymaganiach autentykacji.

2. Wygeneruj lub dostarcz podsumowanie architektury repozytorium — możesz użyć szablonu z references/prompt-template.md aby ustrukturyzować opis systemu.

3. Wyzwól skill, wyraźnie prosząc o modelowanie zagrożeń dla kodu, wyliczenie ścieżek ataku lub przeprowadzenie analizy AppSec. Skill automatycznie ignoruje żądania dotyczące ogólnych przeglądów architektury lub code review.

4. Skill wyodrębni komponenty, magazyny danych i integracje zewnętrzne z repozytorium, mapując je do konkretnych ścieżek w kodzie. Zidentyfikuje punkty wejścia i oddzieli zachowanie runtime od narzędzi CI/build i testów.

5. Otrzymasz raport zawierający granice zaufania (z protokołami, autentykacją, szyfrowaniem), listę zasobów narażonych na ryzyko oraz konkretne ścieżki ataku z mitygacją. Każde stwierdzenie będzie powiązane z dowodem z kodu, bez generycznych checklist.