Habilidades stride-analysis-patterns
📦

stride-analysis-patterns

Seguro 🌐 Acesso à rede⚙️ Comandos externos

Identificar Ameaças de Segurança com STRIDE

Esta skill ajuda a identificar e documentar ameaças de segurança em sistemas usando a metodologia de modelagem de ameaças STRIDE. Ela fornece templates, padrões de código e estruturas de análise para identificação sistemática de ameaças e planejamento de mitigação.

Suporta: Claude Codex Code(CC)
📊 69 Adequado
1

Baixar o ZIP da skill

2

Upload no Claude

Vá em Configurações → Capacidades → Skills → Upload skill

3

Ative e comece a usar

Testar

A utilizar "stride-analysis-patterns". Analyze a web API that accepts user input, processes it against a database, and returns results

Resultado esperado:

  • **Spoofing Threats**: Seqüestro de sessão, falsificação de tokens, preenchimento de credenciais
  • **Tampering Threats**: Injeção SQL, manipulação de parâmetros, bypass de validação de entrada
  • **Repudiation Threats**: Negação de transação, logs de auditoria ausentes
  • **Information Disclosure**: Vazamento de dados através de transmissão insegura, vazamento de mensagens de erro
  • **Denial of Service**: Exaustão de recursos, exaustão do pool de conexões do banco de dados
  • **Elevation of Privilege**: Vulnerabilidades IDOR, bypass de controle de acesso baseado em função

A utilizar "stride-analysis-patterns". Generate a threat model document template for a microservices architecture

Resultado esperado:

  • # Modelo de Ameaças: Arquitetura de Microsserviços
  • ## Trust Boundaries: Externo para DMZ, DMZ para Rede Interna, Serviço para Serviço
  • ## Ativos Principais: Credenciais de Usuário (Alto), PII (Alto), Dados de Sessão (Médio)
  • ## Resumo da Análise STRIDE: 18 ameaças identificadas no total em 6 categorias

Auditoria de Segurança

Seguro
v5 • 1/21/2026

All 54 static findings are false positives. This is a legitimate defensive security skill for threat modeling. Static patterns detected are: security documentation terminology (not ransomware), markdown code blocks (not shell execution), risk-scoring enums (not weak crypto), and documentation links to Microsoft/OWASP (not hardcoded malicious URLs). No actual security concerns identified.

2
Arquivos analisados
1,119
Linhas analisadas
2
achados
5
Total de auditorias

Fatores de risco

🌐 Acesso à rede (4)
skill-report.json:6 SKILL.md:654 SKILL.md:655 SKILL.md:656
⚙️ Comandos externos (13)
SKILL.md:23-33 SKILL.md:33-50 SKILL.md:50-59 SKILL.md:59-64 SKILL.md:64-165 SKILL.md:165-172 SKILL.md:172-199 SKILL.md:199-203 SKILL.md:203-423 SKILL.md:423-427 SKILL.md:427-545 SKILL.md:545-549 SKILL.md:549-634
Auditado por: claude Ver Histórico de Auditoria →

Pontuação de qualidade

38
Arquitetura
100
Manutenibilidade
85
Conteúdo
21
Comunidade
100
Segurança
87
Conformidade com especificações

O Que Você Pode Construir

Modelagem de Ameaças para Novas Aplicações

Engenheiros de segurança usam esta skill para documentar ameaças ao projetar novas aplicações. A skill gera questionários, identifica limites de confiança e produz modelos de ameaças estruturados para revisão de arquitetura.

Criação de Documentação de Segurança

Desenvolvedores usam os templates para criar documentação de segurança para auditorias de conformidade. A skill fornece templates markdown com tabelas de ameaças, mitigações e frameworks de priorização de risco.

Treinamento de Segurança para Equipes

Líderes de equipe usam esta skill para treinar desenvolvedores na identificação de ameaças. As categorias STRIDE estruturadas fornecem um framework memorável para pensar sobre segurança durante revisões de design.

Tente Estes Prompts

Análise STRIDE Básica 
Use a metodologia STRIDE para analisar a arquitetura do nosso [system/component name]. Identifique ameaças potenciais em cada categoria: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service e Elevation of Privilege. Para cada ameaça, forneça uma descrição, impacto potencial e mitigação recomendada.
Análise de Fluxo de Dados 
Analise os fluxos de dados no nosso sistema para cruzamentos de limites de confiança. Identifique fluxos de dados não criptografados entre zonas de diferentes níveis de confiança. Para cada cruzamento, liste ameaças STRIDE aplicáveis e sugira controles de segurança.
Matriz de Ameaças Interativa 
Gere uma matriz de ameaças para estas interações do sistema: [list interactions]. Para cada interação entre [source component] e [target component], identifique ameaças STRIDE aplicáveis, suas descrições e contexto.
Relatório de Priorização de Risco 
Crie um relatório de risco priorizado a partir das seguintes ameaças: [list threats with impact/likelihood ratings]. Calcule pontuações de risco, categorize por severidade e recom ordem de remediação baseada na matriz de risco.

Melhores Práticas

  • Cubra todas as seis categorias STRIDE sistematicamente para evitar perder tipos de ameaças
  • Envolva stakeholders de segurança, desenvolvimento e operações para cobertura abrangente
  • Atualize modelos de ameaças quando a arquitetura do sistema mudar significativamente
  • Priorize mitigações com base em pontuações de risco em vez de tratar todas as ameaças igualmente

Evitar

  • Pular categorias STRIDE porque algumas parecem menos relevantes para o seu sistema
  • Assumir que um componente é seguro sem analisar cada categoria de ameaça
  • Focar apenas em ameaças de alta probabilidade e ignorar riscos de alto impacto e baixa probabilidade
  • Identificar ameaças sem documentar ou rastrear planos de mitigação

Perguntas Frequentes

O que é STRIDE e por que devo usá-lo?
STRIDE é uma metodologia de modelagem de ameaças desenvolvida pela Microsoft. Ela fornece uma maneira sistemática de identificar ameaças de segurança categorizando-as em Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service e Elevation of Privilege. Ela ajuda a garantir cobertura abrangente de segurança durante o design.
Como esta skill é diferente de scanners de segurança automatizados?
Esta skill ajuda com modelagem e documentação de ameaças, não varredura automatizada. Ela guia você através da identificação de ameaças conceitualmente em vez de escanear código em execução por vulnerabilidades. Use ambas as abordagens para cobertura abrangente de segurança.
Posso usar esta skill para documentação de conformidade?
Sim. A skill fornece templates estruturados adequados para documentação de conformidade, incluindo requisitos SOC 2, PCI-DSS e ISO 27001. Os modelos de ameaças e rastreamento de mitigações suportam preparação para auditorias.
Quais saídas esta skill produz?
A skill produz questionários de ameaças, templates de documentação markdown, relatórios de análise de fluxo de dados, matrizes de risco com priorização e listas de verificação de mitigação. As saídas são legíveis por humanos e adequadas para sistemas de documentação.
Esta skill executa algum código no meu sistema?
Não. A skill fornece orientação, templates e estruturas de análise. Ela não executa código, escaneia sistemas ou faz alterações no seu ambiente. Toda a modelagem de ameaças é conceitual e focada em documentação.
Quão detalhados são os modelos de ameaças produzidos?
O nível de detalhe depende da sua entrada. A skill pode produzir resumos de ameaças de alto nível ou documentos detalhados com descrições específicas de ameaças, classificações de impacto, avaliações de probabilidade, pontuações de risco e recomendações de mitigação.

Detalhes do Desenvolvedor

Autor

wshobson

Licença

MIT

Repositório

https://github.com/wshobson/agents/tree/main/plugins/security-scanning/skills/stride-analysis-patterns

Referência

main

Estrutura de arquivos

📄 SKILL.md