技能 security-requirement-extraction
🛡️

security-requirement-extraction

安全

从威胁模型中提取安全需求

也可从以下获取: wshobson

将威胁分析转化为可操作的安全需求。此技能提供模板和模式,用于创建安全用户故事、合规映射和基于威胁模型的测试规范。

支持: Claude Codex Code(CC)
⚠️ 67
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“security-requirement-extraction”。 Extract security requirements for: Threat: T001, Category: INFORMATION_DISCLOSURE, Target: User database, Impact: HIGH, Likelihood: MEDIUM

预期结果:

生成3条安全需求,包含STRIDE映射、高优先级、验收标准和测试用例。已映射到GDPR第32条和OWASP V8.1控制措施。

正在使用“security-requirement-extraction”。 Map requirements SR-001 through SR-005 to PCI-DSS controls

预期结果:

合规矩阵显示覆盖范围:身份验证(8.1、8.2、8.3)、数据保护(3.4、3.5)、审计日志(10.1、10.2)。未发现差距。

安全审计

安全
v1 • 2/25/2026

This skill is a legitimate security education and requirements management tool. All 39 static findings are false positives: backticks are markdown code fences, hardcoded URLs are documentation references, and security domain enum values were incorrectly flagged. The skill provides Python templates for extracting security requirements from threat models.

2
已扫描文件
713
分析行数
6
发现项
1
审计总数

高风险问题 (6)

resources/implementation-playbook.md:22-27resources/implementation-playbook.md:31-35SKILL.md:31SKILL.md:35
External Commands False Positive
Static scanner detected 'Ruby/shell backtick execution' at multiple locations in implementation-playbook.md and SKILL.md. These are backticks in markdown code fences for Python code samples, NOT actual shell execution.
resources/implementation-playbook.md:674-676
Network Access False Positive
Static scanner flagged hardcoded URLs at lines 674-676. These are legitimate documentation links to OWASP ASVS, NIST SP 800-53, and a book reference.
resources/implementation-playbook.md:77-78
Sensitive Data False Positive
Static scanner flagged 'Windows SAM database' at lines 78 and 444. These are enum values for CRYPTOGRAPHY security domain, not actual SAM database access.
resources/implementation-playbook.md:86
C2 Keywords False Positive
Static scanner flagged 'C2 keywords' at line 86. This is OWASP enum value, not command-and-control.
resources/implementation-playbook.md:39resources/implementation-playbook.md:96resources/implementation-playbook.md:116-133
Weak Cryptographic Algorithm False Positive
Static scanner flagged 'weak cryptographic algorithm' at multiple lines. These are references to cryptographic concepts as security domains, not actual weak crypto implementations.
resources/implementation-playbook.md:159resources/implementation-playbook.md:182-183resources/implementation-playbook.md:314
System Reconnaissance False Positive
Static scanner flagged system reconnaissance at multiple lines. These are method names for threat-to-requirement extraction, not security reconnaissance.
审计者: claude

质量评分

38
架构
100
可维护性
87
内容
50
社区
55
安全
100
规范符合性

你能构建什么

安全工程师创建需求

安全工程师已完成STRIDE威胁模型,需要将已识别的威胁转化为具有可测试验收标准的可操作安全需求。

开发人员编写安全用户故事

开发人员需要编写与敏捷工作流集成的安全用户故事,并包含适当的验收标准和测试用例。

合规官映射控制措施

合规官需要将安全需求映射到多个监管框架,并识别覆盖范围内的差距。

试试这些提示

基本需求提取 
使用security-requirement-extraction技能将此威胁模型转换为安全需求。威胁为:[描述威胁的类别、目标、影响、可能性]。生成具有可追溯性、验收标准和测试用例的需求。
多框架合规映射 
使用security-requirement-extraction技能,将这些安全需求映射到PCI-DSS、HIPAA和GDPR框架。识别已覆盖的控制措施和存在的差距。需求:[列出需求]
安全用户故事生成 
使用security-requirement-extraction技能根据这些需求生成安全用户故事。包含标准的故事格式、验收标准和完成定义。需求:[列出需求]
完整安全需求包 
使用security-requirement-extraction技能从此威胁模型生成完整的安全需求包:[威胁模型详情]。包含具有所有属性的需求模型、威胁到需求映射、合规矩阵以及[指定框架]的差距分析。

最佳实践

  • 在提取需求之前先完成威胁模型
  • 确保每个需求至少链接回一个威胁或合规控制措施
  • 为每个需求包含可测试的验收标准
  • 与安全和开发团队一起审查生成的需求

避免

  • 复制通用安全需求而不进行威胁可追溯性
  • 创建没有验收标准或测试用例的需求
  • 直到开发后期才进行合规映射
  • 将需求作为实际安全测试的替代品

常见问题

此技能支持哪些威胁建模框架?
该技能使用STRIDE(欺骗、篡改、否认、信息泄露、拒绝服务、权限提升)作为主要威胁分类,但需求模板适用于任何威胁模型格式。
此技能能否为云安全生成需求?
可以。该技能的需求模板专注于适用于云、本地和混合环境的安全领域(身份验证、授权、数据保护等)。您可能需要添加特定于云的控制措施作为自定义需求。
此技能是否与特定的安全工具集成?
不能。此技能生成基于文本的需求、用户故事和合规映射。输出可以手动导入到需求管理工具、JIRA或文档系统中。
如何验证生成的需求?
根据源威胁模型审查每个需求,验证验收标准是否可测试,并确认合规映射在您的特定监管环境中是准确的。
支持哪些合规框架?
该技能包含PCI-DSS、HIPAA、GDPR、SOC2、NIST CSF、ISO 27001和OWASP ASVS的映射。您可以根据需要使用其他框架进行扩展。
此技能能否帮助进行安全验收测试?
可以。该技能为每个需求生成测试用例。这些测试用例可用于创建自动化安全测试或手动测试计划。

开发者详情

作者

sickn33

许可证

MIT

仓库

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/security-requirement-extraction

引用

main

文件结构

📁 resources/

📄 implementation-playbook.md

📄 SKILL.md