El modelado de amenazas (threat modeling) es la práctica de identificar y priorizar amenazas  de seguridad potenciales para proteger algo activos de valor, como datos confidenciales, información comercial o propiedad intelectual. Mediante el modelado continuo de las de amenazas, los equipos de seguridad pueden proteger mejor las aplicaciones y sobre todo los datos a la vez que educan al equipo de desarrollo de software y crean una cultura organizacional de seguridad en toda la empresa.

El modelado de amenazas es una una excelente oportunidad de comenzar a construir una cultura DevSecOps.

A la hora de modelar amenazas, es importante reunir al arquitecto de seguridad, al equipo de operaciones e infraestructura, a los analistas de seguridad y a los desarrolladores principales. Un documento dinámico conocido como modelo de amenazas debe  incluir aportes de todo el equipo. Lo que quiere decir que el modelado de amenazas, por su propia naturaleza, fomenta una cultura de comunicación y colaboración que puede ser ágil y flexible. Además, ayuda a los miembros del equipo a comprender los roles, objetivos y puntos débiles de los demás.