stride-analysis-patterns
使用 STRIDE 識別安全威脅
此技能可幫助使用 STRIDE 威脅建模方法論來識別和記錄系統中的安全威脅。它提供模板、程式碼模式和分析框架,以進行系統化的威脅識別和緩解規劃。
下載技能 ZIP
在 Claude 中上傳
前往 設定 → 功能 → 技能 → 上傳技能
開啟並開始使用
測試它
正在使用「stride-analysis-patterns」。 分析一個接受使用者輸入、對資料庫進行處理並返回結果的 Web API
預期結果:
- **欺騙威脅**:會話劫持、令牌偽造、憑證填充
- **篡改威脅**:SQL 注入、參數操縱、繞過輸入驗證
- **否認威脅**:交易否認、缺少稽核日誌
- **資訊洩露**:透過不安全傳輸的資料外洩、錯誤訊息洩漏
- **阻斷服務**:資源耗盡、資料庫連接池耗盡
- **權限提升**:IDOR 漏洞、繞過角色型存取控制
正在使用「stride-analysis-patterns」。 為微服務架構生成威脅模型文件模板
預期結果:
- # 威脅模型:微服務架構
- ## 信任邊界:外部到 DMZ、DMZ 到內部網路、服務到服務
- ## 關鍵資產:使用者憑證(高)、個人識別資訊(高)、會話資料(中)
- ## STRIDE 分析摘要:6 個類別中共識別出 18 個威脅
安全審計
安全All 54 static findings are false positives. This is a legitimate defensive security skill for threat modeling. Static patterns detected are: security documentation terminology (not ransomware), markdown code blocks (not shell execution), risk-scoring enums (not weak crypto), and documentation links to Microsoft/OWASP (not hardcoded malicious URLs). No actual security concerns identified.
風險因素
品質評分
你能建構什麼
新應用程式威脅建模
安全工程師在設計新應用程式時使用此技能來記錄威脅。此技能生成問卷、識別信任邊界,並產生用於架構審查的結構化威脅模型。
安全文檔創建
開發人員使用模板來建立合規稽核的安全文檔。此技能提供帶有威脅表、緩解措施和風險優先排序框架的 Markdown 模板。
團隊安全培訓
團隊負責人使用此技能來培訓開發人員進行威脅識別。結構化的 STRIDE 類別提供了一個令人難忘的框架,可在設計審查期間思考安全問題。
試試這些提示
使用 STRIDE 方法論分析我們的 [系統/元件名稱] 架構。識別每個類別中的潛在威脅:欺騙、篡改、否認、資訊洩露、阻斷服務和權限提升。對於每個威脅,提供描述、潛在影響和建議的緩解措施。
分析我們系統中信任邊界穿越的資料流程。識別不同信任層級區域之間未加密的資料流程。對於每個穿越,列出適用的 STRIDE 威脅並建議安全控制措施。
為這些系統互動生成威脅矩陣:[列出互動]。對於 [來源元件] 和 [目標元件] 之間的每個互動,識別適用的 STRIDE 威脅、它們的描述和情境。
根據以下威脅建立優先排序的風險報告:[列出帶有影響/可能性評級的威脅]。計算風險評分,按嚴重程度分類,並根據風險矩陣建議修復順序。
最佳實務
- 系統地涵蓋所有六個 STRIDE 類別,以避免遺漏威脅類型
- 讓來自安全、開發和運營的利害關係人參與以獲得全面覆蓋
- 當系統架構發生重大變更時,更新威脅模型
- 根據風險評分對緩解措施進行優先排序,而不是將所有威脅同等對待
避免
- 因為某些類別看起來與您的系統不太相關而跳過 STRIDE 類別
- 假設某個元件是安全的,而沒有分析每個威脅類別
- 只關注高可能性的威脅,而忽略高影響、低機率的風險
- 識別威脅而沒有記錄或追蹤緩解計劃