attasec/tmdd

在当今快速迭代的开发环境中，attasec/tmdd 为开发团队提供了一种革命性的安全解决方案，将威胁建模与AI智能编码无缝结合，确保应用安全从源头抓起。

核心功能

attasec/tmdd 的核心在于将威胁模型以代码形式嵌入版本控制系统，实现安全与开发的同步演进。它通过AI编码代理自动更新威胁模型，生成安全设计提示，并输出包含数据流图的完整报告，让安全审查变得可追溯、可协作。

主要特性

• 版本控制威胁模型：将威胁模型以YAML格式存储在代码仓库中，实现安全策略的版本化管理，便于团队审查和追溯变更历史。
• AI代理安全感知：集成Cursor、Claude Code等AI编码工具，让AI代理在编写代码时自动更新威胁模型，避免业务逻辑和授权漏洞被遗漏。
• 安全设计提示生成：基于威胁模型动态生成安全编码提示，引导开发人员遵循最佳实践，从设计阶段就嵌入安全防护。
• 全面报告输出：自动生成包含数据流图的详细安全报告，帮助团队直观理解应用风险点，弥补传统SAST/DAST工具的不足。
• 代码化威胁建模：以“威胁建模即代码”理念，使安全流程可版本化、可评审、且对AI代理友好，提升团队协作效率。

适用场景

attasec/tmdd 特别适合采用敏捷开发或DevOps流程的团队，尤其是那些依赖AI工具加速功能交付的科技公司。它能有效预防因快速迭代而忽视的安全隐患，确保在追求开发速度的同时，不牺牲应用的安全性。