Навыки security-requirement-extraction
🛡️

security-requirement-extraction

Безопасно

Извлечение требований безопасности из моделей угроз

Также доступно от: wshobson

Преобразование анализа угроз в практические требования безопасности. Этот навык предоставляет шаблоны и паттерны для создания пользовательских историй безопасности, соответствия требованиям и спецификаций тестирования на основе моделей угроз.

Поддерживает: Claude Codex Code(CC)
⚠️ 64 Плохо
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Протестировать

Использование «security-requirement-extraction». Извлеките требования безопасности для: Угроза: T001, Категория: РАСКРЫТИЕ ИНФОРМАЦИИ, Цель: База данных пользователей, Воздействие: ВЫСОКОЕ, Вероятность: СРЕДНЯЯ

Ожидаемый результат:

Сгенерировано 3 требования безопасности с сопоставлением STRIDE, приоритет ВЫСОКИЙ, критерии приёмки и тестовые случаи. Сопоставлено со статьёй 32 GDPR и средствами контроля OWASP V8.1.

Использование «security-requirement-extraction». Сопоставьте требования SR-001 по SR-005 со средствами контроля PCI-DSS

Ожидаемый результат:

Матрица соответствия с покрытием: Аутентификация (8.1, 8.2, 8.3), Защита данных (3.4, 3.5), Аудиторское логирование (10.1, 10.2). Пробелы не выявлены.

Аудит безопасности

Безопасно
v1 • 2/25/2026

This skill is a legitimate security education and requirements management tool. All 39 static findings are false positives: backticks are markdown code fences, hardcoded URLs are documentation references, and security domain enum values were incorrectly flagged. The skill provides Python templates for extracting security requirements from threat models.

2
Просканировано файлов
713
Проанализировано строк
6
находки
1
Всего аудитов

Проблемы высокого риска (6)

resources/implementation-playbook.md:22-27resources/implementation-playbook.md:31-35SKILL.md:31SKILL.md:35
External Commands False Positive
Static scanner detected 'Ruby/shell backtick execution' at multiple locations in implementation-playbook.md and SKILL.md. These are backticks in markdown code fences for Python code samples, NOT actual shell execution.
resources/implementation-playbook.md:674-676
Network Access False Positive
Static scanner flagged hardcoded URLs at lines 674-676. These are legitimate documentation links to OWASP ASVS, NIST SP 800-53, and a book reference.
resources/implementation-playbook.md:77-78
Sensitive Data False Positive
Static scanner flagged 'Windows SAM database' at lines 78 and 444. These are enum values for CRYPTOGRAPHY security domain, not actual SAM database access.
resources/implementation-playbook.md:86
C2 Keywords False Positive
Static scanner flagged 'C2 keywords' at line 86. This is OWASP enum value, not command-and-control.
resources/implementation-playbook.md:39resources/implementation-playbook.md:96resources/implementation-playbook.md:116-133
Weak Cryptographic Algorithm False Positive
Static scanner flagged 'weak cryptographic algorithm' at multiple lines. These are references to cryptographic concepts as security domains, not actual weak crypto implementations.
resources/implementation-playbook.md:159resources/implementation-playbook.md:182-183resources/implementation-playbook.md:314
System Reconnaissance False Positive
Static scanner flagged system reconnaissance at multiple lines. These are method names for threat-to-requirement extraction, not security reconnaissance.
Проверено: claude

Оценка качества

38
Архитектура
100
Сопровождаемость
87
Контент
31
Сообщество
55
Безопасность
100
Соответствие спецификации

Что вы можете построить

Инженер по безопасности создаёт требования

Инженер по безопасности завершил моделирование угроз по методологии STRIDE и需要对 идентифицированные угрозы преобразовать в практические требования безопасности с проверяемыми критериями приёмки.

Разработчик пишет истории безопасности

Разработчику необходимо написать пользовательские истории безопасности, которые интегрируются с гибкими методологиями разработки и включают надлежащие критерии приёмки и тестовые случаи.

Специалист по соответствию сопоставляет средства контроля

Специалисту по соответствию необходимо сопоставить требования безопасности с несколькими нормативными фреймворками и выявить пробелы в покрытии.

Попробуйте эти промпты

Базовое извлечение требований 
Используйте навык извлечения требований безопасности для преобразования этой модели угроз в требования безопасности. Угроза: [опишите угрозу с категорией, целью, воздействием, вероятностью]. Сгенерируйте требования с прослеживаемостью, критериями приёмки и тестовыми случаями.
Сопоставление соответствия с несколькими фреймворками 
Используя навык извлечения требований безопасности, сопоставьте эти требования безопасности с фреймворками PCI-DSS, HIPAA и GDPR. Определите, какие средства контроля покрыты и какие пробелы существуют. Требования: [перечислите требования]
Генерация пользовательской истории безопасности 
Сгенерируйте пользовательские истории безопасности из этих требований с использованием навыка извлечения требований безопасности. Включите стандартный формат истории с критериями приёмки и определением завершённости. Требования: [перечислите требования]
Полный пакет требований безопасности 
Используя навык извлечения требований безопасности, сгенерируйте полный пакет требований безопасности из этой модели угроз: [детали модели угроз]. Включите модели требований со всеми атрибутами, сопоставления угроз-требований, матрицу соответствия и анализ пробелов для [укажите фреймворк].

Лучшие практики

  • Начните с полной модели угроз перед извлечением требований
  • Убедитесь, что каждое требование связано как минимум с одной угрозой или средством контроля соответствия
  • Включайте проверяемые критерии приёмки для каждого требования
  • Просматривайте сгенерированные требования совместно с командами безопасности и разработки

Избегать

  • Копирование общих требований безопасности без прослеживаемости угроз
  • Создание требований без критериев приёмки или тестовых случаев
  • Пропуск сопоставления соответствия до позднего этапа разработки
  • Использование требований в качестве замены фактического тестирования безопасности

Часто задаваемые вопросы

Какие фреймворки моделирования угроз поддерживает этот навык?
Навык использует STRIDE (Подмена, 修改, Отказ от обязательств, Раскрытие информации, Отказ в обслуживании, Повышение привилегий) в качестве основной категоризации угроз, но шаблоны требований работают с любым форматом модели угроз.
Может ли этот навык генерировать требования для облачной безопасности?
Да, шаблоны требований сосредоточены на доменах безопасности (аутентификация, авторизация, защита данных и т.д.), которые применимы для облачных, локальных и гибридных сред. Возможно, потребуется добавить облачные средства контроля в качестве пользовательских требований.
Интегрируется ли этот навык с конкретными инструментами безопасности?
Нет, этот навык генерирует текстовые требования, пользовательские истории и сопоставления соответствия. Вывод можно вручную импортировать в системы управления требованиями, JIRA или системы документирования.
Как мне проверить сгенерированные требования?
Проверьте каждое требование относительно исходной модели угроз, убедитесь, что критерии приёмки являются проверяемыми, и подтвердите точность сопоставлений соответствия для вашего конкретного нормативного контекста.
Какие фреймворки соответствия поддерживаются?
Навык включает сопоставления для PCI-DSS, HIPAA, GDPR, SOC2, NIST CSF, ISO 27001 и OWASP ASVS. Вы можете расширить их дополнительными фреймворками по необходимости.
Может ли этот навык помочь с приёмочным тестированием безопасности?
Да, навык генерирует тестовые случаи для каждого требования. Эти тестовые случаи можно использовать для создания автоматизированных тестов безопасности или ручных планов тестирования.

Сведения для разработчиков

Автор

sickn33

Лицензия

MIT

Репозиторий

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/security-requirement-extraction

Ссылка

main

Структура файлов

📁 resources/

📄 implementation-playbook.md

📄 SKILL.md