Habilidades stride-analysis-patterns
📦

stride-analysis-patterns

Seguro 🌐 Acceso a red⚙️ Comandos externos

Identifique Amenazas de Seguridad con STRIDE

Esta habilidad ayuda a identificar y documentar amenazas de seguridad en sistemas utilizando la metodología de modelado de amenazas STRIDE. Proporciona plantillas, patrones de código y marcos de análisis para la identificación sistemática de amenazas y la planificación de mitigación.

Soporta: Claude Codex Code(CC)
📊 69 Adecuado
1

Descargar el ZIP de la skill

2

Subir en Claude

Ve a Configuración → Capacidades → Skills → Subir skill

3

Activa y empieza a usar

Pruébalo

Usando "stride-analysis-patterns". Analizar una API web que acepta entrada de usuario, la procesa contra una base de datos y devuelve resultados

Resultado esperado:

  • **Amenazas de Suplantación (Spoofing)**: Secuestro de sesión, falsificación de tokens, relleno de credenciales
  • **Amenazas de Manipulación (Tampering)**: Inyección SQL, manipulación de parámetros, bypass de validación de entrada
  • **Amenazas de Repudio (Repudiation)**: Negación de transacciones, registros de auditoría faltantes
  • **Divulgación de Información (Information Disclosure)**: Violación de datos por transmisión insegura, fuga de mensajes de error
  • **Denegación de Servicio (Denial of Service)**: Agotamiento de recursos, agotamiento del pool de conexiones de base de datos
  • **Elevación de Privilegios (Elevation of Privilege)**: Vulnerabilidades IDOR, bypass de control de acceso basado en roles

Usando "stride-analysis-patterns". Generar una plantilla de documento de modelo de amenazas para una arquitectura de microservicios

Resultado esperado:

  • # Modelo de Amenazas: Arquitectura de Microservicios
  • ## Límites de Confianza: Externo a DMZ, DMZ a Red Interna, Servicio a Servicio
  • ## Activos Clave: Credenciales de Usuario (Alto), PII (Alto), Datos de Sesión (Medio)
  • ## Resumen de Análisis STRIDE: 18 amenazas totales identificadas en 6 categorías

Auditoría de seguridad

Seguro
v5 • 1/21/2026

All 54 static findings are false positives. This is a legitimate defensive security skill for threat modeling. Static patterns detected are: security documentation terminology (not ransomware), markdown code blocks (not shell execution), risk-scoring enums (not weak crypto), and documentation links to Microsoft/OWASP (not hardcoded malicious URLs). No actual security concerns identified.

2
Archivos escaneados
1,119
Líneas analizadas
2
hallazgos
5
Auditorías totales

Factores de riesgo

🌐 Acceso a red (4)
skill-report.json:6 SKILL.md:654 SKILL.md:655 SKILL.md:656
⚙️ Comandos externos (13)
SKILL.md:23-33 SKILL.md:33-50 SKILL.md:50-59 SKILL.md:59-64 SKILL.md:64-165 SKILL.md:165-172 SKILL.md:172-199 SKILL.md:199-203 SKILL.md:203-423 SKILL.md:423-427 SKILL.md:427-545 SKILL.md:545-549 SKILL.md:549-634
Auditado por: claude Ver historial de auditorías →

Puntuación de calidad

38
Arquitectura
100
Mantenibilidad
85
Contenido
21
Comunidad
100
Seguridad
87
Cumplimiento de la especificación

Lo que puedes crear

Modelado de Amenazas para Nueva Aplicación

Los ingenieros de seguridad utilizan esta habilidad para documentar amenazas al diseñar nuevas aplicaciones. La habilidad genera cuestionarios, identifica límites de confianza y produce modelos estructurados de amenazas para la revisión de arquitectura.

Creación de Documentación de Seguridad

Los desarrolladores utilizan las plantillas para crear documentación de seguridad para auditorías de cumplimiento. La habilidad proporciona plantillas en markdown con tablas de amenazas, mitigaciones y marcos de priorización de riesgos.

Capacitación de Seguridad para Equipos

Los líderes de equipo utilizan esta habilidad para capacitar a los desarrolladores en la identificación de amenazas. Las categorías STRIDE estructuradas proporcionan un marco memorable para pensar en seguridad durante las revisiones de diseño.

Prueba estos prompts

Análisis STRIDE Básico 
Use the STRIDE methodology to analyze our [system/component name] architecture. Identify potential threats in each category: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege. For each threat, provide a description, potential impact, and recommended mitigation.
Análisis de Flujo de Datos 
Analyze the data flows in our system for trust boundary crossings. Identify unencrypted data flows between zones of different trust levels. For each crossing, list applicable STRIDE threats and suggest security controls.
Matriz de Amenazas Interactiva 
Generate a threat matrix for these system interactions: [list interactions]. For each interaction between [source component] and [target component], identify applicable STRIDE threats, their descriptions, and context.
Informe de Priorización de Riesgos 
Create a prioritized risk report from the following threats: [list threats with impact/likelihood ratings]. Calculate risk scores, categorize by severity, and recommend remediation order based on the risk matrix.

Mejores prácticas

  • Cubrir todas las seis categorías STRIDE sistemáticamente para evitar omitir tipos de amenazas
  • Involucrar a partes interesadas de seguridad, desarrollo y operaciones para una cobertura completa
  • Actualizar los modelos de amenazas cuando la arquitectura del sistema cambie significativamente
  • Priorizar mitigaciones basándose en puntuaciones de riesgo en lugar de tratar todas las amenazas por igual

Evitar

  • Omitir categorías STRIDE porque algunas parecen menos relevantes para su sistema
  • Asumir que un componente es seguro sin analizar cada categoría de amenaza
  • Enfocarse solo en amenazas de alta probabilidad e ignorar riesgos de alto impacto y baja probabilidad
  • Identificar amenazas sin documentar o rastrear planes de mitigación

Preguntas frecuentes

¿Qué es STRIDE y por qué debería usarlo?
STRIDE es una metodología de modelado de amenazas desarrollada por Microsoft. Proporciona una forma sistemática de identificar amenazas de seguridad categorizándolas en Suplantación (Spoofing), Manipulación (Tampering), Repudio (Repudiation), Divulgación de Información (Information Disclosure), Denegación de Servicio (Denial of Service) y Elevación de Privilegios (Elevation of Privilege). Ayuda a garantizar una cobertura de seguridad integral durante el diseño.
¿En qué se diferencia esta habilidad de los escáneres de seguridad automatizados?
Esta habilidad ayuda con el modelado y la documentación de amenazas, no con el escaneo automatizado. Le guía a través de la identificación de amenazas conceptualmente en lugar de escanear código en ejecución en busca de vulnerabilidades. Utilice ambos enfoques para una cobertura de seguridad integral.
¿Puedo usar esta habilidad para documentación de cumplimiento?
Sí. La habilidad proporciona plantillas estructuradas adecuadas para documentación de cumplimiento incluyendo requisitos de SOC 2, PCI-DSS e ISO 27001. Los modelos de amenazas y el seguimiento de mitigación apoyan la preparación de auditorías.
¿Qué resultados produce esta habilidad?
La habilidad produce cuestionarios de amenazas, plantillas de documentación en markdown, informes de análisis de flujo de datos, matrices de riesgo con priorización y listas de verificación de mitigación. Las salidas son legibles para humanos y adecuadas para sistemas de documentación.
¿Esta habilidad ejecuta algún código en mi sistema?
No. La habilidad proporciona orientación, plantillas y marcos de análisis. No ejecuta código, escanea sistemas ni realiza cambios en su entorno. Todo el modelado de amenazas es conceptual y enfocado en la documentación.
¿Qué tan detallados son los modelos de amenazas producidos?
El nivel de detalle depende de su entrada. La habilidad puede producir resúmenes de amenazas de alto nivel o documentos detallados con descripciones específicas de amenazas, calificaciones de impacto, evaluaciones de probabilidad, puntuaciones de riesgo y recomendaciones de mitigación.

Detalles del desarrollador

Autor

wshobson

Licencia

MIT

Repositorio

https://github.com/wshobson/agents/tree/main/plugins/security-scanning/skills/stride-analysis-patterns

Ref.

main

Estructura de archivos

📄 SKILL.md