SkillEngenhariaRevisão
Applying STRIDE Threat Analysis
Aplica STRIDE aos ativos e fronteiras da feature para identificar ameaças acionáveis.
Ações
PerfilDev
ProfundidadeAlta
Idiomapt-BR
Objetivo
Em uma frase.
Identificar ameaças específicas para a mudança usando STRIDE como método de cobertura, sempre ligado a ativo, ator, ponto de entrada e fronteira de confiança.
Aplicação
Quando
faz sentido.
Usar
- Depois de mapear ativos e fronteiras.
- Antes de aprovar design técnico de feature sensível.
- Em revisão de API, autenticação, autorização, upload, integração externa ou fluxo financeiro.
Prompt
Instruções
para a IA.
Passo 1 - Percorrer STRIDE por fronteira
Para cada ponto de entrada ou fronteira, avalie:
- **Spoofing:** alguém pode se passar por usuário, serviço ou tenant?
- **Tampering:** dados, parâmetros, eventos ou payloads podem ser alterados?
- **Repudiation:** ações críticas ficam sem rastreabilidade?
- **Information Disclosure:** dados sensíveis podem vazar em resposta, log, cache ou erro?
- **Denial of Service:** a entrada permite exaustão de recurso, fila ou dependência?
- **Elevation of Privilege:** usuário ou serviço pode ganhar permissão indevida?Passo 2 - Escrever ameaças específicas
Cada ameaça deve conter:
- ID.
- Categoria STRIDE.
- Ativo afetado.
- Ator provável.
- Caminho de ataque em alto nível.
- Impacto.
- Probabilidade.
- Controle existente, se houver.### Passo 3 - Priorizar por risco
Use criticidade do ativo, exposição, facilidade, histórico e blast radius. Não promova tudo a crítico; isso destrói priorização.
### Passo 4 - Marcar lacunas de informação
Se uma ameaça depende de detalhe não confirmado, registre pergunta objetiva em vez de assumir.
Constelação
Onde
ela vive.
Workflows que usam
Bundles que incluem