利用 STRIDE 模型系统化分析系统安全威胁

解决安全审计随机性问题：通过 AI 将 STRIDE 威胁建模方法论标准化，帮助开发者在设计阶段就系统性地识别伪造、篡改、信息泄露等六大类安全威胁。

为什么需要这个技能

在进行系统设计或代码评审时，很多开发者对安全威胁的分析依赖于个人经验，容易导致漏洞遗漏（例如只关注了权限校验，却忽略了数据篡改）。

STRIDE 是由微软提出的一套成熟的安全建模框架，涵盖了：

Spoofing（仿冒）：冒充他人身份。
Tampering（篡改）：未经授权修改数据。
Repudiation（否认）：否认执行了某项操作。
Information Disclosure（信息泄露）：泄露机密数据。
Denial of Service（拒绝服务）：导致系统不可用。
Elevation of Privilege（权限提升）：获得不该有的访问权限。

通过本技能，AI 能引导你从这六个维度穷举所有潜在风险，将“拍脑袋”的安全分析转变为标准化的工程流程。

适用场景

新功能设计评审：在编写代码前，分析系统架构图中可能存在的安全漏洞。
现有架构审计：对已上线系统进行回顾，补齐缺失的安全控制措施。
合规与审计准备：在应对安全合规检查时，快速生成详细的威胁分析文档。
团队安全培训：通过 AI 生成的分析案例，训练团队成员识别威胁的意识。

核心工作流

定义上下文：向 AI 提供系统架构图、数据流图（DFD）或详细的功能描述，明确业务目标与约束条件。
维度扫描：AI 针对每个组件（如数据库、API 接口、用户端）依次应用 STRIDE 六大维度进行威胁扫描。
风险评估与验证：AI 根据识别出的威胁，提供可操作的防御方案，并引导用户在实际环境中验证漏洞是否存在。
文档输出：将分析结果转化为标准化的威胁建模文档，包含“威胁描述 $\to$ 影响 $\to$ 缓解措施”。

下载和安装

下载 stride-analysis-patterns 中文版 Skill ZIP

解压后将目录放入你的 AI 工具 skills 文件夹，重启工具后即可使用。具体路径参考内附的 USAGE.zh.md。

你可能还需要

暂无推荐