security-requirement-extraction
Générer des exigences de sécurité à partir des menaces
Les menaces de sécurité sont difficiles à transformer en exigences claires. Cette compétence convertit les menaces en exigences testables, stories utilisateur et correspondances de conformité. Utilisez-la lors de la traduction des modèles de menace en contrôles de sécurité actionnables.
Télécharger le ZIP du skill
Importer dans Claude
Allez dans Paramètres → Capacités → Skills → Importer un skill
Activez et commencez à utiliser
Tester
Utilisation de "security-requirement-extraction". Créer des exigences à partir d'une menace d'usurpation ciblant la connexion
Résultat attendu:
- SR-001 : Authentifier les utilisateurs avant l'accès à la connexion
- Critères d'acceptation : MFA pour les opérations sensibles, échecs d'authentification journalisés
- Cas de test : Accès non authentifié refusé, informations d'identification invalides rejetées, tokens non falsifiables
Utilisation de "security-requirement-extraction". Générer des exigences pour les menaces de falsification de données
Résultat attendu:
- SR-005 : Valider toutes les entrées vers le stockage de données
- Critères d'acceptation : Intégrité des données vérifiée, tentatives de modification déclenchent des alertes
- Cas de test : Entrées invalides rejetées, données falsifiées détectées et rejetées
Audit de sécurité
SûrPure documentation skill containing templates and guidance for security requirement extraction. Python code examples in SKILL.md are documentation templates only, not executable code. All 47 static findings are false positives: URLs are documentation links, backticks are markdown code blocks, and security terminology (C2, crypto, reconnaissance, SAM) appears in legitimate compliance and threat modeling context. No actual code execution, network calls, or credential access occurs.
Facteurs de risque
🌐 Accès réseau (4)
Score de qualité
Ce que vous pouvez construire
Correspondance menace-exigence
Convertir les listes de menaces STRIDE en exigences de sécurité priorisées avec justification.
Stories utilisateur de sécurité
Produire des stories utilisateur et critères d'acceptation pour la planification du backlog sécurité.
Traçabilité des contrôles
Mapper les exigences aux contrôles PCI DSS, HIPAA, GDPR et OWASP.
Essayez ces prompts
Convertir cette menace en exigences de sécurité avec critères d'acceptation et cas de test : [détails de la menace].
Extraire les exigences de sécurité pour ces menaces STRIDE et regrouper par domaine : [liste des menaces].
Générer des stories utilisateur de sécurité avec priorité et critères d'acceptation pour ces menaces : [menaces].
Mapper ces exigences aux contrôles PCI DSS et OWASP, et noter les écarts : [exigences].
Bonnes pratiques
- Fournir des descriptions de menace claires avec notations d'impact et de probabilité
- Tracer chaque exigence vers un identifiant de menace spécifique
- Inclure des critères d'acceptation mesurables et des conditions testables
Éviter
- Utiliser des exigences génériques sans testabilité
- Omettre la justification ou la priorité pour les exigences
- Mapper vers la conformité sans traçabilité des menaces