security-requirement-extraction
Генерация требований безопасности из угроз
Превратить угрозы безопасности в чёткие требования сложно. Этот навык преобразует угрозы в тестируемые требования, пользовательские истории и маппинги соответствия. Используйте при переводе моделей угроз в действенные средства контроля безопасности.
Скачать ZIP навыка
Загрузить в Claude
Перейдите в Settings → Capabilities → Skills → Upload skill
Включите и начните использовать
Протестировать
Использование «security-requirement-extraction». Создайте требования из угрозы спуфинга, нацеленной на вход в систему
Ожидаемый результат:
- SR-001: Аутентифицировать пользователей перед доступом к системе входа
- Критерии приёмки: MFA для чувствительных операций, неудачные попытки аутентификации записываются в лог
- Тестовые случаи: Неаутентифицированный доступ отклоняется, неверные учётные данные отклоняются, токены не могут быть подделаны
Использование «security-requirement-extraction». Сгенерируйте требования для угроз искажения данных
Ожидаемый результат:
- SR-005: Валидировать все входные данные в хранилище
- Критерии приёмки: Целостность данных проверяется, попытки модификации вызывают алерты
- Тестовые случаи: Невалидный ввод отклоняется, изменённые данные обнаруживаются и отклоняются
Аудит безопасности
БезопасноPure documentation skill containing templates and guidance for security requirement extraction. Python code examples in SKILL.md are documentation templates only, not executable code. All 47 static findings are false positives: URLs are documentation links, backticks are markdown code blocks, and security terminology (C2, crypto, reconnaissance, SAM) appears in legitimate compliance and threat modeling context. No actual code execution, network calls, or credential access occurs.
Факторы риска
🌐 Доступ к сети (4)
Оценка качества
Что вы можете построить
Маппинг угроз к требованиям
Преобразуйте списки угроз STRIDE в приоритизированные требования безопасности с обоснованием.
Пользовательские истории безопасности
Создавайте пользовательские истории и критерии приёмки для планирования бэклога безопасности.
Трассировка контролей
Маппите требования к контролям PCI DSS, HIPAA, GDPR и OWASP.
Попробуйте эти промпты
Преобразуйте эту угрозу в требования безопасности с критериями приёмки и тестовыми случаями: [детали угрозы].
Извлеките требования безопасности для этих угроз STRIDE и сгруппируйте по домену: [список угроз].
Сгенерируйте пользовательские истории безопасности с приоритетом и критериями приёмки для этих угроз: [угрозы].
Замаппите эти требования к контролям PCI DSS и OWASP и отметьте пробелы: [требования].
Лучшие практики
- Предоставляйте чёткие описания угроз с оценками влияния и вероятности
- Трассируйте каждое требование к конкретному идентификатору угрозы
- Включайте измеримые критерии приёмки и тестируемые условия
Избегать
- Использование общих требований без тестируемости
- Пропуск обоснования или приоритета для требований
- Маппинг к соответствию без трассировки к угрозам