stride-analysis-patterns
应用STRIDE方法论系统性地识别威胁。适用于分析系统安全性、进行威胁建模会议或制定安全文档时使用。
作者
分类
其他工具安装
热度:5
下载并解压到你的 skills 目录
复制命令,发送给 OpenClaw 自动安装:
下载并安装这个技能 https://openskills.cc/api/download?slug=sickn33-skills-stride-analysis-patterns&locale=zh&source=copy
STRIDE Analysis Patterns - 系统化威胁识别技能
技能概述
STRIDE Analysis Patterns 是一个应用 STRIDE 方法论进行系统化威胁识别的 AI 技能,帮助团队在威胁建模会话、系统安全分析和安全文档创建中准确识别潜在安全威胁。
适用场景
当开始新项目或系统设计时,使用此技能系统化识别 Spoofing(欺骗)、Tampering(篡改)、Repudiation(否认)、Information Disclosure(信息泄露)、Denial of Service(拒绝服务)和 Elevation of Privilege(权限提升)等威胁类型。
审查当前系统架构时,应用 STRIDE 方法评估各组件的安全风险,识别潜在漏洞和攻击面,为安全改进提供决策依据。
在安全文档编制、合规审计准备或团队培训过程中,使用此技能生成结构化的威胁分析报告和可操作的安全建议。
核心功能
基于 STRIDE 方法论的六大威胁类别,提供完整的威胁识别框架,确保覆盖所有主要安全威胁类型,避免遗漏关键风险点。
根据具体系统架构和使用场景,提供针对性的威胁分析,包括网络通信、身份认证、数据存储等关键环节的安全评估。
生成包含威胁描述、影响评估和缓解措施的结构化文档,支持安全设计决策和合规审计需求。
常见问题
STRIDE 方法论包含哪些威胁类型?
STRIDE 是微软开发的威胁建模方法论,包含六大威胁类型:Spoofing(身份欺骗)、Tampering(数据篡改)、Repudiation(行为否认)、Information Disclosure(信息泄露)、Denial of Service(服务拒绝)和 Elevation of Privilege(权限提升)。每个类型对应不同的安全风险和防护策略。
威胁建模应该在项目的哪个阶段进行?
威胁建模最好在系统设计早期进行,此时修改架构的成本最低。建议在需求分析和架构设计阶段启动威胁建模,并在系统迭代中持续更新。对于现有系统,可以在安全审查、合规评估或重大更新前补充威胁分析。
这个技能适合哪些用户使用?
STRIDE Analysis Patterns 适合安全工程师、系统架构师、开发人员和安全审计人员使用。无论您是刚开始学习威胁建模,还是需要快速分析现有系统,这个技能都能提供结构化的威胁识别方法和实用的安全建议。