security-bluebook-builder
构建安全蓝皮书
为敏感应用程序创建全面的安全文档。此技能提供了构建安全蓝皮书的模式和指导,蓝皮书记录了安全控制措施、威胁模型和合规要求。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“security-bluebook-builder”。 为处理患者数据的医疗保健应用程序创建安全蓝皮书
预期结果:
安全蓝皮书大纲:
1. 执行摘要
2. 应用程序概述
3. 数据分类(PHI、PII)
4. 威胁模型
- 资产:患者记录、身份验证
- 威胁行为者:外部攻击者、内部威胁
- 攻击向量:SQL 注入、XSS、权限提升
5. 安全控制
- 访问控制
- 加密(静态数据使用 AES-256,传输中使用 TLS 1.3)
- 审计日志
6. 合规映射(HIPAA)
7. 事件响应程序
正在使用“security-bluebook-builder”。 为我们的金融交易处理系统添加威胁模型
预期结果:
威胁模型章节:
## 资产
- 交易数据
- 用户凭据
- API 密钥
## 威胁行为者
- 外部攻击者
- 恶意内部人员
- 自动���机器人
## 攻击向量
- API 滥用
- 凭据填充
- 数据泄��
## 缓解策略
- 速率限制
- 强制多因素身份验证
- 数据丢失防护控制
安全审计
安全Static analysis flagged hardcoded URLs and weak cryptographic algorithms, but evaluation reveals these are false positives. The URLs are legitimate documentation links to the skill's GitHub repository. The cryptographic flag was triggered by the word 'build' in 'build security blue books', which refers to documentation creation, not cryptography. This is a simple documentation skill with no security concerns.
低风险问题 (2)
质量评分
你能构建什么
新应用程序安全文档
为新的敏感应用程序生成初始安全蓝皮书结构,包括安全控制、威胁模型章节和合规映射。
合规文档更新
更新现有安全文档以满足新的合规要求或更新威胁模型章节。
安全文档审查
审查和改进现有安全蓝皮书的完整性和准确性。
试试这些提示
为我的新应用程序 [应用程序名称] 创建安全蓝皮书。它处理 [敏感数据类型] 并部署在 [基础设施] 上。生成全面的文档结构,包括威胁模型、安全控制和合规章节。
为现有安全蓝皮书的 [应用程序] 添加威胁��型章节。包括资产、威胁行为者、攻击向量和缓解策略的章节。
在我们的安全蓝皮书中为 [法规/标准] 创建合规映射章节。将我们现有的安全控制映射到所需的合规标准。
审查 [应用程序] 蓝皮书中的安全控制章节。识别差距,提出改进建议,并确保覆盖 OWASP Top 10 和常见攻击向量。
最佳实践
- 从清晰的数据分类章节开始,定义需要保护的内容
- 包括技术控制和程序安全措施
- 随着应用程序的发展定期更新威胁模型
避免
- 复制粘贴通用安全模板而不进行定制
- 忽略事件响应等非功能性安全需求
- 未能记录安全决策及其理由