6 июня 2026

Агент Security — моделирование угроз на протяжении всего цикла

Как агент Security в Datarim применяет моделирование угроз по STRIDE, проверку OWASP Top 10 и аудит CVE зависимостей на нескольких этапах — чтобы безопасность была встроена, а не добавлена постфактум.

Проверка безопасности, проведённая один раз в конце, после того как код уже смёрджен, обычно даёт список находок, которые дорого исправлять. Агент Security запускается в нескольких точках пайплайна Datarim — чтобы каждая фаза работы получала нужную проверку в тот момент, когда изменение ещё дёшево.

Security — это аналитик безопасности, который участвует на /dr-design для моделирования угроз, на /dr-qa для глубокой проверки безопасности и на /dr-compliance для поиска секретов. В многоагентном обсуждении (consilium) у него конкретная роль: «что может пойти не так и как это предотвратить?»

Что он делает

На этапе дизайна агент Security проводит моделирование угроз по STRIDE — структурированный метод, который задаёт шесть вопросов о каждом компоненте: можно ли его подделать, изменить, отрицать факт операции, раскрыть неавторизованным сторонам, сделать недоступным или повысить его привилегии. Также строятся деревья атак: от наихудшего исхода — назад, к путям, ведущим к нему.

На этапе проверки качества применяется OWASP Top 10 — десять наиболее распространённых уязвимостей веб-приложений — и проводится ревью кода на инъекции, межсайтовый скриптинг, подделку серверных запросов (SSRF), обход пути и небезопасную десериализацию. Выполняется аудит зависимостей на CVE и риски цепочки поставок, проверяется управление секретами, а также дизайн аутентификации и авторизации. В область проверки входит и защита данных: шифрование в состоянии покоя и при передаче, обработка персональных данных и соответствие требованиям GDPR.

Один конкретный пример

Новый эндпоинт принимает URL от пользователя для получения удалённого ресурса. При проверке дизайна агент Security идентифицирует это как вектор SSRF — подделки серверных запросов — при котором злоумышленник может указать адрес внутренней сети и заставить сервер выполнять запросы от его имени. Угроза попадает в приложение по безопасности плана с конкретной мерой защиты: проверять URL по белому списку допустимых хостов до любого сетевого вызова. Исправление занимает минуты на этапе дизайна; после деплоя на это ушли бы дни.

Где он в процессе

Агент Security использует самую мощную модель в наборе — ту же, что Planner и Strategist — потому что пропущенные находки по безопасности имеют накапливающиеся последствия. Его результаты появляются в разделе «Security Summary» плана, в отчёте QA-ревью и в комплаенс-сканировании в конце пайплайна. Цель — чтобы каждый мёрдж содержал проверяемый след того, что проверялось и какие решения принимались.

Полное описание — на карточке агента Security, а общую картину даёт пост что такое Datarim.