技能 stride-analysis-patterns
🛡️

stride-analysis-patterns

安全

تطبيق نمذجة تهديدات STRIDE على أنظمتك

也可从以下获取: wshobson

تكافح فرق الأمان لتحديد التهديدات بشكل منهجي في الأنظمة المعقدة. تطبق هذه المهارة منهجية STRIDE المثبتة لكشف تهديدات الانتحال والتزوير والتلاعب والإنكار وكشف المعلومات وحرمان الخدمة ورفع الامتيازات.

支持: Claude Codex Code(CC)
🥉 75 青铜
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“stride-analysis-patterns”。 Analyze a user login endpoint for STRIDE threats

预期结果:

  • الانتحار والتزوير: هجمات ملء بيانات الاعتماد، اختطاف الجلسات، تزوير الرموز
  • التلاعب: معالجة المعلمات، محاولات القوة الغاشمة، حقن SQL
  • الإنكار: إنكار المستخدمين محاولات تسجيل الدخول، سجلات التدقيق المفقودة
  • كشف المعلومات: رسائل الخطأ التي تكشف أسماء المستخدمين الصحيحة، تسرب بيانات الاعتماد
  • حرمان الخدمة: إساءة استخدام قفل الحساب، استنزاف الموارد
  • رفع الامتياز: IDOR للوصول إلى حسابات مستخدمين آخرين، معالجة الأدوار

正在使用“stride-analysis-patterns”。 Create a threat model summary for an e-commerce API

预期结果:

  • إجمالي التهديدات المحددة: 24
  • حرجة: 3 (حقن SQL، كشف بيانات الدفع، رفع الامتياز)
  • عالية: 8 (اختطاف الجلسات، IDOR، CSRF، XSS، إلخ)
  • متوسطة: 9 (فجوات التسجيل، عدم وجود تحديد المعدل، إلخ)
  • منخفضة: 4 (مخاطر كشف معلومات ثانوية)
  • الأولوية القصوى: تنفيذ التحقق من المدخلات، تمكين TLS 1.3، إضافة تسجيل تدقيق شامل

安全审计

安全
v1 • 2/25/2026

All static analysis findings are false positives. The detected 'backtick execution' patterns are Markdown code fence delimiters (```), not Ruby shell commands. The 'hardcoded URLs' are educational reference links. The 'weak crypto' and 'ransomware' patterns are security education content, not actual implementations. This skill contains only documentation and Python code templates for learning threat modeling.

2
已扫描文件
692
分析行数
0
发现项
1
审计总数
未发现安全问题
审计者: claude

质量评分

38
架构
100
可维护性
87
内容
50
社区
100
安全
100
规范符合性

你能构建什么

مراجعة بنية الأمان

تحليل منهجي لتصاميم الأنظمة الجديدة قبل التنفيذ لتحديد التهديدات والتخفيف منها مبكرًا في دورة تطوير البرمجيات.

توثيق الامتثال

إنشاء توثيق شامل لنموذج التهديدات المطلوب لعمليات تدقيق الأمان والشهادات والامتثال التنظيمي.

تدريب المطورين على الأمان

تدريب فرق التطوير على تحديد التهديدات باستخدام فئات STRIDE المنظمة وسيناريوهات الهجوم في العالم الحقيقي.

试试这些提示

تحليل STRIDE الأساسي 
قم بتحليل مكون النظام هذا باستخدام منهجية STRIDE: [وصف المكون]. لكل فئة (الانتحار والتزوير، التلاعب، الإنكار، كشف المعلومات، حرمان الخدمة، رفع الامتياز)، حدد تهديدين على الأقل واقترح تخفيفًا واحدًا لكل منهما.
تحليل مخطط تدفق البيانات 
لدي نظام بهذه المكونات وتدفقات البيانات: [وصف DFD]. حدد جميع عمليات عبور حدود الثقة وتحليل有哪些 تهديدات STRIDE تنطبق على كل حد. ضع أولويات التهديدات حسب درجة المخاطر (التأثير × الاحتمالية).
إنشاء مستند نموذج التهديدات 
إنشاء مستند نموذج تهديدات كامل لـ [اسم النظام]. يشمل: نظرة عامة على النظام، ووصف مخطط تدفق البيانات، وجرد الأصول بمستويات الحساسية، وتحليل STRIDE الكامل مع جداول التهديدات، ومصفوفة المخاطر، والتوصيات ذات الأولوية مع إجراءات فورية وقصيرة المدى وطويلة المدى.
استبيان مراجعة الأمان 
إنشاء استبيان أمان قائم على STRIDE لمراجعة [نوع النظام، مثل: "واجهة برمجة تطبيقات REST مع مصادقة المستخدم"]. لكل فئة STRIDE، قدّم 4-5 أسئلة محددة تكشف عن نقاط الضعف المحتملة._INCLUDE مساحة للإجابات والملاحظات.

最佳实践

  • إشراك أصحاب المصلحة المتعددين بما في ذلك فرق الأمان والتطوير والعمليات لتغطية شاملة للتهديدات
  • تحديث نماذج التهديدات بانتظام مع تطور بنية النظام وظهور تهديدات جديدة
  • ترتيب التهديدات حسب درجة المخاطر (التأثير مضروبًا في الاحتمالية) والتركيز على التخفيف من العناصر الحرجة أولاً

避免

  • تخطي فئات STRIDE يؤدي إلى فقدان التهديدات - قم دائمًا بتحليل جميع الفئات الست بشكل منهجي
  • إنشاء نماذج التهديدات بشكل معزول بدون تعاون الفريق يؤدي إلى نقاط عمياء وتحليل غير مكتمل
  • معالجة نمذجة التهديدات كنشاط لمرة واحدة بدلاً من الحفاظ عليها كوثيقة حية

常见问题

ما هي منهجية STRIDE؟
STRIDE هو نموذج تصنيف التهديدات طورته شركة Microsoft. يقف لـ Spoofing (الانتحار والتزوير) وTampering (التلاعب) وRepudiation (الإنكار) وInformation Disclosure (كشف المعلومات) وDenial of Service (حرمان الخدمة) وElevation of Privilege (رفع الامتياز). تساعد كل فئة في تحديد أنواع محددة من تهديدات الأمان بطريقة منهجية.
متى يجب أن أقوم بإجراء نمذجة التهديدات؟
قم بإجراء نمذجة التهديدات أثناء تصميم النظام قبل التنفيذ، وعند إجراء تغييرات معمارية كبيرة، قبل الإصدارات الرئيسية، ودوريًا للأنظمة الموجودة. تكون نمذجة التهديدات المبكرة الأكثر فعالية من حيث التكلفة.
هل أحتاج إلى خبرة أمان لاستخدام هذه المهارة؟
تساعد المعرفة الأساسية بالأمان، لكن نهج STRIDE المنظم يرشدك من خلال تحديد التهديدات. تجعل القوالب والاستبيانات هذه الأداة في متناول المطورين ذوي الخلفية الأمنية المحدودة.
كيف أحدد أولويات التهديدات المحددة؟
استخدم مصفوفة مخاطر بضرب التأثير (منخفض=1 إلى حرج=4) في الاحتمالية (منخفض=1 إلى حرج=4). ركز على درجات المخاطر الحرجة (12-16) والعالية (6-9) أولاً.ضع في الاعتبار السياق التجاري والضوابط القائمة.
ما الذي يجب أن يشمله تسليم نموذج التهديدات؟
يشمل النموذج الكامل للتهديدات: وصف النظام، ومخططات تدفق البيانات، وحدود الثقة، وجرد الأصول، وجداول تحليل STRIDE، وتقييم المخاطر، وتوصيات التخفيف ذات الأولوية مع الجداول الزمنية.
كم مرة يجب تحديث نماذج التهديدات؟
قم بتحديث نماذج التهديدات كلما تغيرت بنية النظام، أو تمت إضافة ميزات جديدة، أو بعد حوادث الأمان، أو مرة واحدة على الأقل سنويًا.عامل نماذج التهديدات كوثائق حية تتطور مع نظامك.

开发者详情

作者

sickn33

许可证

MIT

仓库

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/stride-analysis-patterns

引用

main

文件结构

📁 resources/

📄 implementation-playbook.md

📄 SKILL.md