Fähigkeiten stride-analysis-patterns
📦

stride-analysis-patterns

Sicher 🌐 Netzwerkzugriff⚙️ Externe Befehle

Sicherheitsbedrohungen mit STRIDE identifizieren

Diese Skill hilft dabei, Sicherheitsbedrohungen in Systemen mithilfe der STRIDE-Bedrohungsmodellierungsmethodik zu identifizieren und zu dokumentieren. Sie bietet Vorlagen, Code-Muster und Analyse-Frameworks für die systematische Bedrohungsidentifikation und Mitigationsplanung.

Unterstützt: Claude Codex Code(CC)
📊 69 Angemessen
1

Die Skill-ZIP herunterladen

2

In Claude hochladen

Gehe zu Einstellungen → Fähigkeiten → Skills → Skill hochladen

3

Einschalten und loslegen

Teste es

Verwendung von "stride-analysis-patterns". Analyse einer Web-API, die Benutzereingaben akzeptiert, gegen eine Datenbank verarbeitet und Ergebnisse zurückgibt

Erwartetes Ergebnis:

  • **Spoofing Threats**: Session hijacking, token forgery, credential stuffing
  • **Tampering Threats**: SQL injection, parameter manipulation, input validation bypass
  • **Repudiation Threats**: Transaction denial, missing audit logs
  • **Information Disclosure**: Data breach through insecure transmission, error message leakage
  • **Denial of Service**: Resource exhaustion, database connection pool exhaustion
  • **Elevation of Privilege**: IDOR vulnerabilities, role-based access bypass

Verwendung von "stride-analysis-patterns". Generierung einer Bedrohungsmodell-Dokumentvorlage für eine Microservices-Architektur

Erwartetes Ergebnis:

  • # Threat Model: Microservices Architecture
  • ## Trust Boundaries: External to DMZ, DMZ to Internal Network, Service to Service
  • ## Key Assets: User Credentials (High), PII (High), Session Data (Medium)
  • ## STRIDE Analysis Summary: 18 total threats identified across 6 categories

Sicherheitsaudit

Sicher
v5 • 1/21/2026

All 54 static findings are false positives. This is a legitimate defensive security skill for threat modeling. Static patterns detected are: security documentation terminology (not ransomware), markdown code blocks (not shell execution), risk-scoring enums (not weak crypto), and documentation links to Microsoft/OWASP (not hardcoded malicious URLs). No actual security concerns identified.

2
Gescannte Dateien
1,119
Analysierte Zeilen
2
befunde
5
Gesamtzahl Audits

Risikofaktoren

🌐 Netzwerkzugriff (4)
skill-report.json:6 SKILL.md:654 SKILL.md:655 SKILL.md:656
⚙️ Externe Befehle (13)
SKILL.md:23-33 SKILL.md:33-50 SKILL.md:50-59 SKILL.md:59-64 SKILL.md:64-165 SKILL.md:165-172 SKILL.md:172-199 SKILL.md:199-203 SKILL.md:203-423 SKILL.md:423-427 SKILL.md:427-545 SKILL.md:545-549 SKILL.md:549-634
Auditiert von: claude Audit-Verlauf anzeigen →

Qualitätsbewertung

38
Architektur
100
Wartbarkeit
85
Inhalt
21
Community
100
Sicherheit
87
Spezifikationskonformität

Was du bauen kannst

Bedrohungsmodellierung neuer Anwendungen

Sicherheitsingenieure verwenden diese Skill, um Bedrohungen beim Entwurf neuer Anwendungen zu dokumentieren. Die Skill generiert Fragebögen, identifiziert Trust Boundaries und erstellt strukturierte Bedrohungsmodelle für Architekturüberprüfungen.

Erstellung von Sicherheitsdokumentation

Entwickler nutzen die Vorlagen, um Sicherheitsdokumentation für Compliance-Audits zu erstellen. Die Skill bietet Markdown-Vorlagen mit Bedrohungstabellen, Mitigationen und Frameworks zur Risikopriorisierung.

Sicherheitsschulung für Teams

Teamleiter verwenden diese Skill, um Entwickler in der Bedrohungsidentifikation zu schulen. Die strukturierten STRIDE-Kategorien bieten ein einprägsames Framework für sicherheitsorientiertes Denken bei Design-Reviews.

Probiere diese Prompts

Grundlegende STRIDE-Analyse 
Use the STRIDE methodology to analyze our [system/component name] architecture. Identify potential threats in each category: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege. For each threat, provide a description, potential impact, and recommended mitigation.
Datenflussanalyse 
Analyze the data flows in our system for trust boundary crossings. Identify unencrypted data flows between zones of different trust levels. For each crossing, list applicable STRIDE threats and suggest security controls.
Interaktive Bedrohungsmatrix 
Generate a threat matrix for these system interactions: [list interactions]. For each interaction between [source component] and [target component], identify applicable STRIDE threats, their descriptions, and context.
Risikopriorisierungsbericht 
Create a prioritized risk report from the following threats: [list threats with impact/likelihood ratings]. Calculate risk scores, categorize by severity, and recommend remediation order based on the risk matrix.

Bewährte Verfahren

  • Alle sechs STRIDE-Kategorien systematisch abdecken, um keine Bedrohungstypen zu übersehen
  • Stakeholder aus Sicherheit, Entwicklung und Betrieb für umfassende Abdeckung einbeziehen
  • Bedrohungsmodelle aktualisieren, wenn sich die Systemarchitektur wesentlich ändert
  • Mitigationen basierend auf Risikobewertungen priorisieren, anstatt alle Bedrohungen gleich zu behandeln

Vermeiden

  • STRIDE-Kategorien überspringen, weil einige für Ihr System weniger relevant erscheinen
  • Annehmen, dass eine Komponente sicher ist, ohne jede Bedrohungskategorie zu analysieren
  • Sich nur auf wahrscheinliche Bedrohungen konzentrieren und hochgradig folgenreiche, unwahrscheinliche Risiken ignorieren
  • Bedrohungen identifizieren, ohne Mitigationspläne zu dokumentieren oder zu verfolgen

Häufig gestellte Fragen

Was ist STRIDE und warum sollte ich es verwenden?
STRIDE ist eine von Microsoft entwickelte Bedrohungsmodellierungsmethodik. Sie bietet eine systematische Möglichkeit, Sicherheitsbedrohungen zu identifizieren, indem sie in Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service und Elevation of Privilege kategorisiert werden. Sie hilft, eine umfassende Sicherheitsabdeckung während des Entwurfs zu gewährleisten.
Wie unterscheidet sich diese Skill von automatisierten Sicherheitsscannern?
Diese Skill hilft bei der Bedrohungsmodellierung und Dokumentation, nicht beim automatisierten Scannen. Sie führt Sie durch die konzeptuelle Identifikation von Bedrohungen, anstatt laufenden Code auf Schwachstellen zu scannen. Verwenden Sie beide Ansätze für eine umfassende Sicherheitsabdeckung.
Kann ich diese Skill für Compliance-Dokumentation verwenden?
Ja. Die Skill bietet strukturierte Vorlagen, die für Compliance-Dokumentation geeignet sind, einschließlich SOC 2, PCI-DSS und ISO 27001-Anforderungen. Die Bedrohungsmodelle und die Mitigationsverfolgung unterstützen die Audit-Vorbereitung.
Welche Ausgaben erzeugt diese Skill?
Die Skill erstellt Bedrohungsfragebögen, Markdown-Dokumentationsvorlagen, Datenflussanalyseberichte, Risikomatrizen mit Priorisierung und Mitigations-Checklisten. Die Ausgaben sind für Menschen lesbar und für Dokumentationssysteme geeignet.
Führt diese Skill Code auf meinem System aus?
Nein. Die Skill bietet Anleitungen, Vorlagen und Analyse-Frameworks. Sie führt keinen Code aus, scannt keine Systeme und nimmt keine Änderungen an Ihrer Umgebung vor. Die gesamte Bedrohungsmodellierung ist konzeptionell und dokumentationsorientiert.
Wie detailliert sind die erstellten Bedrohungsmodelle?
Der Detaillierungsgrad hängt von Ihrer Eingabe ab. Die Skill kann allgemeine Bedrohungszusammenfassungen oder detaillierte Dokumente mit spezifischen Bedrohungsbeschreibungen, Auswirkungsbewertungen, Wahrscheinlichkeitseinschätzungen, Risikobewertungen und Mitigationsempfehlungen erstellen.

Entwicklerdetails

Autor

wshobson

Lizenz

MIT

Repository

https://github.com/wshobson/agents/tree/main/plugins/security-scanning/skills/stride-analysis-patterns

Ref

main

Dateistruktur

📄 SKILL.md