stride-analysis-patterns
حدد التهديدات الأمنية باستخدام STRIDE
تساعد هذه المهارة على تحديد وتوثيق التهديدات الأمنية في الأنظمة باستخدام منهجية نمذجة التهديدات STRIDE. توفر قوالب وأنماط كود وأطر تحليل للتحديد المنهجي للتهديدات وتخطيط التخفيف.
تنزيل ZIP المهارة
رفع في Claude
اذهب إلى Settings → Capabilities → Skills → Upload skill
فعّل وابدأ الاستخدام
اختبرها
استخدام "stride-analysis-patterns". Analyze a web API that accepts user input, processes it against a database, and returns results
النتيجة المتوقعة:
- **Spoofing Threats**: Session hijacking, token forgery, credential stuffing
- **Tampering Threats**: SQL injection, parameter manipulation, input validation bypass
- **Repudiation Threats**: Transaction denial, missing audit logs
- **Information Disclosure**: Data breach through insecure transmission, error message leakage
- **Denial of Service**: Resource exhaustion, database connection pool exhaustion
- **Elevation of Privilege**: IDOR vulnerabilities, role-based access bypass
استخدام "stride-analysis-patterns". Generate a threat model document template for a microservices architecture
النتيجة المتوقعة:
- # Threat Model: Microservices Architecture
- ## Trust Boundaries: External to DMZ, DMZ to Internal Network, Service to Service
- ## Key Assets: User Credentials (High), PII (High), Session Data (Medium)
- ## STRIDE Analysis Summary: 18 total threats identified across 6 categories
التدقيق الأمني
آمنAll 54 static findings are false positives. This is a legitimate defensive security skill for threat modeling. Static patterns detected are: security documentation terminology (not ransomware), markdown code blocks (not shell execution), risk-scoring enums (not weak crypto), and documentation links to Microsoft/OWASP (not hardcoded malicious URLs). No actual security concerns identified.
عوامل الخطر
🌐 الوصول إلى الشبكة (4)
درجة الجودة
ماذا يمكنك بناءه
نمذجة تهديدات لتطبيق جديد
يستخدم مهندسو الأمن هذه المهارة لتوثيق التهديدات عند تصميم تطبيقات جديدة. تنشئ المهارة استبيانات، وتحدد حدود الثقة، وتنتج نماذج تهديدات منظمة لمراجعة البنية.
إنشاء وثائق أمنية
يستخدم المطورون القوالب لإنشاء وثائق أمنية لعمليات التدقيق الخاصة بالامتثال. توفر المهارة قوالب markdown تتضمن جداول تهديدات وإجراءات تخفيف وأطرًا لترتيب المخاطر حسب الأولوية.
تدريب الفريق على الأمن
يستخدم قادة الفريق هذه المهارة لتدريب المطورين على تحديد التهديدات. توفر فئات STRIDE المنظمة إطارًا سهل التذكر للتفكير في الأمن أثناء مراجعات التصميم.
جرّب هذه الموجهات
استخدم منهجية STRIDE لتحليل بنية [اسم النظام/المكون] لدينا. حدّد التهديدات المحتملة في كل فئة: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, و Elevation of Privilege. لكل تهديد، قدم وصفًا وتأثيرًا محتملًا وإجراء تخفيف موصى به.
حلّل تدفقات البيانات في نظامنا لعبور حدود الثقة. حدّد تدفقات البيانات غير المشفرة بين مناطق ذات مستويات ثقة مختلفة. لكل عبور، اذكر تهديدات STRIDE المناسبة واقترح ضوابط أمنية.
أنشئ مصفوفة تهديدات لتفاعلات النظام التالية: [قائمة التفاعلات]. لكل تفاعل بين [المكوّن المصدر] و [المكوّن الهدف]، حدّد تهديدات STRIDE المناسبة، وأوصافها، وسياقها.
أنشئ تقرير مخاطر مرتبًا حسب الأولوية من التهديدات التالية: [قائمة التهديدات مع تقييمات الأثر/الاحتمال]. احسب درجات المخاطر، وصنّفها حسب الشدة، وأوصِ بترتيب المعالجة استنادًا إلى مصفوفة المخاطر.
أفضل الممارسات
- غطِّ الفئات الست لـ STRIDE بشكل منهجي لتجنب فقدان أنواع التهديدات
- أشرك أصحاب المصلحة من الأمن والتطوير والعمليات لتحقيق تغطية شاملة
- حدّث نماذج التهديدات عندما تتغير بنية النظام بشكل ملحوظ
- رتّب إجراءات التخفيف حسب درجات المخاطر بدلًا من معاملة جميع التهديدات بالتساوي
تجنب
- تخطي فئات STRIDE لأن بعضها يبدو أقل صلة بنظامك
- افتراض أن المكوّن آمن دون تحليل كل فئة تهديد
- التركيز فقط على التهديدات عالية الاحتمال وتجاهل المخاطر عالية الأثر منخفضة الاحتمال
- تحديد التهديدات دون توثيق أو تتبع خطط التخفيف