LLM como ‘Consultor de Segurança Virtual’: Apoio à Geração de Requisitos, Evil User Stories e Casos de Testes para Times com Baixa Proficiência em Segurança
Engenharia de Segurança; Segurança de Software; Threat Modeling; LLM; STRIDE; Automação; Testes de Segurança; Agile; DevSecOps.
Este trabalho investiga o uso de Large Language Models (LLMs) como assistente de
segurança para apoiar equipes de desenvolvimento com baixa proficiência na área ao
longo do ciclo de desenvolvimento de software. Propõe-se um artefato composto por
microserviços que auxiliam na identificação e estruturação de ameaças, bem como na
elicitação de requisitos de segurança, evil user stories e cenários conceituais de teste, a partir
de requisitos funcionais, regras de negócio e estórias de usuário fornecidas pelos próprios
membros da equipe. A abordagem fundamenta-se nos Touchpoints de Gary McGraw,
focando especificamente na automação dos pontos de Requisitos de Segurança e Análise
de Risco Arquitetural, utilizando a metodologia STRIDE como motor de análise para
identificar ameaças. Utiliza um processo estruturado que integra LLMs como mecanismo
de apoio ao raciocínio e à tomada de decisão, e não como substituto de especialistas
humanos. O objetivo é reduzir o esforço cognitivo, apoiar a compreensão de riscos e
ampliar a maturidade de segurança em equipes com recursos limitados. A pesquisa
segue a metodologia Design Science Research, contemplando concepção, desenvolvimento,
demonstração e avaliação do artefato, aplicada ao contexto real dos sistemas SIGs, sistemas
mantido pela STI/UFRN. Espera-se demonstrar em que medida o uso de um artefato
baseado em LLMs melhora a quantidade, diversidade e qualidade das ameaças e requisitos
de segurança identificados, quando comparado a abordagens predominantemente manuais,
caracterizando o LLM como “consultor de segurança virtual”, para equipes com baixa
proficiência em segurança.