Habilidades stride-analysis-patterns
🛡️

stride-analysis-patterns

Seguro

Aplicar Modelado de Amenazas STRIDE a Tus Sistemas

También disponible en: wshobson

Los equipos de seguridad tienen dificultades para identificar sistemáticamente las amenazas en sistemas complejos. Esta habilidad aplica la metodología STRIDE probada para descubrir amenazas de suplantación, tampering, repudiación, divulgación de información, denegación de servicio y elevación de privilegios.

Soporta: Claude Codex Code(CC)
🥉 72 Bronce
1

Descargar el ZIP de la skill

2

Subir en Claude

Ve a Configuración → Capacidades → Skills → Subir skill

3

Activa y empieza a usar

Pruébalo

Usando "stride-analysis-patterns". Analyze a user login endpoint for STRIDE threats

Resultado esperado:

  • Spoofing: Ataques de credential stuffing, session hijacking, falsificación de tokens
  • Tampering: Manipulación de parámetros, intentos de fuerza bruta, inyección SQL
  • Repudiation: Usuarios negando intentos de inicio de sesión, logs de auditoría faltantes
  • Information Disclosure: Mensajes de error revelando nombres de usuario válidos, filtración de credenciales
  • Denial of Service: Abuso de bloqueo de cuentas, agotamiento de recursos
  • Elevation of Privilege: IDOR para acceder a cuentas de otros usuarios, manipulación de roles

Usando "stride-analysis-patterns". Create a threat model summary for an e-commerce API

Resultado esperado:

  • Total threats identified: 24
  • Critical: 3 (inyección SQL, exposición de datos de pago, elevación de privilegios)
  • High: 8 (session hijacking, IDOR, CSRF, XSS, etc.)
  • Medium: 9 (brechas de logging, falta de rate limiting, etc.)
  • Low: 4 (riesgos menores de divulgación de información)
  • Top priority: Implementar validación de entrada, habilitar TLS 1.3, agregar logging de auditoría completo

Auditoría de seguridad

Seguro
v1 • 2/25/2026

All static analysis findings are false positives. The detected 'backtick execution' patterns are Markdown code fence delimiters (```), not Ruby shell commands. The 'hardcoded URLs' are educational reference links. The 'weak crypto' and 'ransomware' patterns are security education content, not actual implementations. This skill contains only documentation and Python code templates for learning threat modeling.

2
Archivos escaneados
692
Líneas analizadas
0
hallazgos
1
Auditorías totales
No se encontraron problemas de seguridad
Auditado por: claude

Puntuación de calidad

38
Arquitectura
100
Mantenibilidad
87
Contenido
31
Comunidad
100
Seguridad
100
Cumplimiento de la especificación

Lo que puedes crear

Revisión de Arquitectura de Seguridad

Analizar sistemáticamente diseños de nuevos sistemas antes de la implementación para identificar y mitigar amenazas tempranamente en el ciclo de desarrollo.

Documentación de Cumplimiento

Generar documentación completa de modelos de amenazas requerida para auditorías de seguridad, certificaciones y cumplimiento regulatorio.

Capacitación en Seguridad para Desarrolladores

Capacitar a equipos de desarrollo en identificación de amenazas utilizando categorías STRIDE estructuradas y escenarios de ataque del mundo real.

Prueba estos prompts

Análisis STRIDE Básico 
Analiza este componente del sistema usando la metodología STRIDE: [describe component]. Para cada categoría (Spoofing, Tampering, Repudiación, Divulgación de Información, Denegación de Servicio, Elevación de Privilegios), identifica al menos dos amenazas potenciales y sugiere una mitigación para cada una.
Análisis de Diagrama de Flujo de Datos 
Tengo un sistema con estos componentes y flujos de datos: [describe DFD]. Identifica todos los cruces de límites de confianza y analiza qué amenazas STRIDE se aplican en cada límite. Prioriza las amenazas por puntuación de riesgo (impacto x probabilidad).
Generación de Documento de Modelo de Amenazas 
Crea un documento completo de modelo de amenazas para [system name]. Incluye: descripción general del sistema, descripción del diagrama de flujo de datos, inventario de activos con niveles de sensibilidad, análisis STRIDE completo con tablas de amenazas, matriz de riesgos y recomendaciones priorizadas con acciones inmediatas, a corto plazo y a largo plazo.
Cuestionario de Revisión de Seguridad 
Genera un cuestionario de seguridad basado en STRIDE para revisar [type of system, e.g., 'REST API with user authentication']. Para cada categoría STRIDE, proporciona 4-5 preguntas específicas que revelen vulnerabilidades potenciales. Incluye espacio para respuestas y notas.

Mejores prácticas

  • Involucrar a múltiples partes interesadas, incluyendo equipos de seguridad, desarrollo y operaciones, para una cobertura completa de amenazas
  • Actualizar los modelos de amenazas regularmente a medida que la arquitectura del sistema evoluciona y surgen nuevas amenazas
  • Priorizar las amenazas por puntuación de riesgo (impacto multiplicado por probabilidad) y enfocar la remediación primero en los elementos críticos

Evitar

  • Saltarse categorías STRIDE conduce a amenazas perdidas - analizar siempre las seis categorías sistemáticamente
  • Crear modelos de amenazas en aislamiento sin colaboración del equipo resulta en puntos ciegos y análisis incompletos
  • Tratar el modelado de amenazas como una actividad única en lugar de mantenerlo como un documento vivo

Preguntas frecuentes

¿Qué es la metodología STRIDE?
STRIDE es un modelo de categorización de amenazas desarrollado por Microsoft. Significa Spoofing, Tampering, Repudiación, Divulgación de Información, Denegación de Servicio y Elevación de Privilegios. Cada categoría ayuda a identificar tipos específicos de amenazas de seguridad de manera sistemática.
¿Cuándo debo realizar el modelado de amenazas?
Realiza el modelado de amenazas durante el diseño del sistema antes de la implementación, al realizar cambios significativos en la arquitectura, antes de lanzamientos importantes y periódicamente para sistemas existentes. El modelado temprano de amenazas es más rentable.
¿Necesito experiencia en seguridad para usar esta habilidad?
El conocimiento básico de seguridad ayuda, pero el enfoque estructurado STRIDE te guía a través de la identificación de amenazas. Las plantillas y cuestionarios hacen que sea accesible para desarrolladores con experiencia limitada en seguridad.
¿Cómo priorizo las amenazas identificadas?
Usa una matriz de riesgo multiplicando el impacto (Bajo=1 hasta Crítico=4) por la probabilidad (Bajo=1 hasta Crítico=4). Enfócate primero en puntuaciones de riesgo Crítico (12-16) y Alto (6-9). Considera el contexto del negocio y los controles existentes.
¿Qué entregables debe incluir un modelo de amenazas?
Un modelo de amenazas completo incluye: descripción del sistema, diagramas de flujo de datos, límites de confianza, inventario de activos, tablas de análisis STRIDE, evaluaciones de riesgos y recomendaciones de mitigación priorizadas con cronogramas.
¿Con qué frecuencia deben actualizarse los modelos de amenazas?
Actualiza los modelos de amenazas cuando la arquitectura del sistema cambie, se agreguen nuevas características, después de incidentes de seguridad, o al menos anualmente. Trata los modelos de documentos vivos que evolucionan con tu sistema.

Detalles del desarrollador

Autor

sickn33

Licencia

MIT

Repositorio

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/stride-analysis-patterns

Ref.

main

Estructura de archivos

📁 resources/

📄 implementation-playbook.md

📄 SKILL.md