security-requirement-extraction
从威胁模型和业务背景中推导出安全需求。适用于将威胁转化为可执行的需求、创建安全用户故事或构建安全测试案例的场景。
作者
分类
商业分析安装
热度:13
下载并解压到你的 skills 目录
复制命令,发送给 OpenClaw 自动安装:
下载并安装这个技能 https://openskills.cc/api/download?slug=sickn33-skills-security-requirement-extraction&locale=zh&source=copy
Security Requirement Extraction - 安全需求提取技能
技能概述
将威胁分析转化为可执行的安全需求,帮助团队从威胁模型和业务场景中提炼具体的安全要求。
适用场景
1. 威胁模型转换为安全需求
在完成威胁建模后,将识别出的威胁(如 STRIDE 方法发现的潜在风险)转化为具体的安全控制措施和可实施的需求,确保威胁不是停留在理论层面。
2. 编写安全用户故事
为敏捷开发团队创建符合用户故事格式的安全需求,例如"作为系统管理员,我希望确保所有敏感数据在传输时加密,以防止中间人攻击"。
3. 构建安全测试用例
基于安全需求生成验证测试用例,确保开发的安全控制能够被有效测试和验证,涵盖功能测试、渗透测试和合规验证。
核心功能
1. 威胁到需求的映射
将威胁建模的输出(如威胁列表、攻击树)转化为结构化的安全需求,支持多种威胁建模方法(STRIDE、PASTA、LINDDUN等)的成果转换。
2. 安全需求结构化输出
生成符合行业标准格式的安全需求,包括需求ID、描述、验收标准、优先级和与威胁的追溯关系,便于集成到需求管理系统。
3. 合规性需求对齐
将安全需求与合规标准(如 ISO 27001、SOC 2、PCI DSS、GDPR)进行映射,确保需求满足监管和审计要求。
常见问题
什么是安全需求提取?
安全需求提取是将威胁分析结果转化为具体、可执行的安全控制措施的过程。它帮助团队从"可能发生什么威胁"转变为"需要做什么防护",是连接安全分析和安全实施的关键环节。
如何将威胁模型转换为安全需求?
首先,从威胁模型中识别已确认的威胁;其次,为每个威胁设计缓解措施;然后,将缓解措施转化为可验证的需求陈述;最后,添加验收标准和优先级。这个过程确保每个威胁都有对应的安全控制措施。
Security Requirement Extraction 有什么限制?
此技能专注于需求提取和转化,不执行实际的威胁建模(需先完成威胁分析)或安全测试(需将需求交付给测试团队)。它也不处理非安全相关的功能需求或业务逻辑需求。