SkillEngenhariaDiagnostica
Mapping Security Assets And Boundaries
Mapeia ativos, atores, fluxos de dados, pontos de entrada e fronteiras de confiança.
Ações
PerfilDev
ProfundidadeAlta
Idiomapt-BR
Objetivo
Em uma frase.
Produzir um mapa técnico suficiente para identificar ameaças. Sem ativos e fronteiras claras, threat modeling vira lista genérica.
Aplicação
Quando
faz sentido.
Usar
- Depois de extrair requisitos de segurança.
- Antes de revisar feature que recebe input externo.
- Ao integrar terceiros, webhooks, filas, jobs ou APIs públicas.
- Quando a mudança atravessa múltiplos serviços ou permissões.
Prompt
Instruções
para a IA.
Passo 1 - Listar ativos
Inclua:
- Dados sensíveis.
- Tokens, sessões e credenciais.
- Recursos de negócio protegidos.
- Operações irreversíveis.
- Logs/auditoria.
- Configurações e segredos.Passo 2 - Identificar atores
Mapeie atores humanos e máquinas:
- Usuário anônimo.
- Usuário autenticado.
- Admin ou suporte.
- Serviço interno.
- Sistema terceiro.
- Atacante com conta legítima.
- Atacante sem credencial.Passo 3 - Mapear pontos de entrada
Liste APIs, rotas, webhooks, forms, filas, jobs, uploads, imports, comandos CLI e integrações que recebem dados ou disparam ações.
### Passo 4 - Marcar fronteiras de confiança
Uma fronteira existe quando dado ou identidade muda de domínio de confiança:
- Internet -> aplicação.
- Aplicação -> banco.
- Serviço A -> serviço B.
- Terceiro -> webhook.
- CI -> produção.
- Usuário comum -> operação privilegiada.### Passo 5 - Criar fluxo de dados mínimo
Descreva o caminho dos dados críticos do input ao armazenamento/output. Marque onde validação, autorização, criptografia e logging devem ocorrer.
Constelação
Onde
ela vive.
Workflows que usam
Bundles que incluem