security-bluebook-builder
Livres Bleus de Sécurité
Créer une documentation de sécurité complète pour les applications sensibles. Cette compétence fournit des modèles et des conseils pour créer des Livres Bleus de sécurité documentant les contrôles de sécurité, les modèles de menaces et les exigences de conformité.
Télécharger le ZIP du skill
Importer dans Claude
Allez dans Paramètres → Capacités → Skills → Importer un skill
Activez et commencez à utiliser
Tester
Utilisation de "security-bluebook-builder". Créer un Livre Bleu de sécurité pour une application de santé qui traite les données des patients
Résultat attendu:
Plan du Livre Bleu de Sécurité :
1. Résumé Exécutif
2. Aperçu de l'Application
3. Classification des Données (PHI, PII)
4. Modèle de Menaces
- Actifs : Dossiers patients, authentification
- Acteurs de Menaces : Attaquants externes, menaces internes
- Vecteurs d'Attaque : Injection SQL, XSS, élévation de privilèges
5. Contrôles de Sécurité
- Contrôle d'Accès
- Chiffrement (AES-256 au repos, TLS 1.3 en transit)
- Journalisation d'Audit
6. Correspondance de Conformité (HIPAA)
7. Procédures de Réponse aux Incidents
Utilisation de "security-bluebook-builder". Ajouter un modèle de menaces à notre système de traitement des transactions financières
Résultat attendu:
Section du Modèle de Menaces :
## Actifs
- Données de transaction
- Identifiants utilisateur
- Clés API
## Acteurs de Menaces
- Attaquants externes
- Insiders malveillants
- Bots automatisés
## Vecteurs d'Attaque
- Abus d'API
- Credential stuffing
- Exfiltration de données
## Stratégies d'Atténuation
- Limitation de débit
- Application de l'MFA
- Contrôles DLP
Audit de sécurité
SûrStatic analysis flagged hardcoded URLs and weak cryptographic algorithms, but evaluation reveals these are false positives. The URLs are legitimate documentation links to the skill's GitHub repository. The cryptographic flag was triggered by the word 'build' in 'build security blue books', which refers to documentation creation, not cryptography. This is a simple documentation skill with no security concerns.
Problèmes à risque faible (2)
Score de qualité
Ce que vous pouvez construire
Documentation de Sécurité pour Nouvelle Application
Générer la structure initiale du Livre Bleu de sécurité pour une nouvelle application sensible, incluant les sections sur les contrôles de sécurité, le modèle de menaces et les correspondances de conformité.
Mise à Jour de Documentation de Conformité
Actualiser la documentation de sécurité existante pour répondre aux nouvelles exigences de conformité ou mettre à jour les sections du modèle de menaces.
Révision de Documentation de Sécurité
Examiner et améliorer les Livres Bleus de sécurité existants pour vérifier leur exhaustivité et leur exactitude.
Essayez ces prompts
Créer un Livre Bleu de sécurité pour ma nouvelle application [nom de l'application]. Elle traite [types de données sensibles] et est déployée sur [infrastructure]. Générer une structure de documentation complète incluant le modèle de menaces, les contrôles de sécurité et les sections de conformité.
Ajouter une section de modèle de menaces au Livre Bleu de sécurité existant pour [application]. Inclure des sections pour les actifs, les acteurs de menaces, les vecteurs d'attaque et les stratégies d'atténuation.
Créer une section de correspondance de conformité pour [règlement/norme] dans notre Livre Bleu de sécurité. Mapper nos contrôles de sécurité existants aux critères de conformité requis.
Réviser la section des contrôles de sécurité de notre Livre Bleu pour [application]. Identifier les lacunes, suggérer des améliorations et assurer la couverture du OWASP Top 10 et des vecteurs d'attaque courants.
Bonnes pratiques
- Commencer par une section claire de classification des données pour définir ce qui doit être protégé
- Inclure à la fois les contrôles techniques et les mesures de sécurité procédurales
- Mettre à jour régulièrement les modèles de menaces à mesure que l'application évolue
Éviter
- Copier-coller des modèles de sécurité génériques sans personnalisation
- Ignorer les exigences de sécurité non fonctionnelles comme la réponse aux incidents
- Ne pas documenter les décisions de sécurité et leur raisonnement