security-requirement-extraction

por wshobson

security-requirement-extraction convierte modelos de amenazas y contexto de negocio en requisitos de seguridad verificables, historias de usuario, criterios de aceptación y entregables listos para el backlog en Requirements Planning.

Estrellas32.6k

Favoritos0

Comentarios0

Agregado30 mar 2026

CategoríaRequirements Planning

Comando de instalación

npx skills add wshobson/agents --skill security-requirement-extraction

Puntuación editorial

Esta skill obtiene una puntuación de 68/100, lo que significa que puede incluirse en el directorio, pero conviene abordarla como una guía de prompts centrada en documentación más que como una skill plenamente operativa. El repositorio presenta un propósito creíble y un flujo de trabajo escrito con bastante detalle para convertir análisis de amenazas en requisitos de seguridad, historias de usuario, casos de prueba y criterios de aceptación, pero la claridad de instalación es limitada porque no hay archivos de apoyo, recursos ejecutables ni instrucciones de configuración explícitas.

68/100

Puntos fuertes

Buena capacidad de activación: la descripción y los casos de uso dejan claro cuándo aplicarla para traducir modelos de amenazas en requisitos de seguridad accionables.
Contenido escrito sustancial: `SKILL.md` es extenso y está bien estructurado, con varias secciones, conceptos, restricciones y ejemplos, en lugar de ser un simple marcador de posición.
Aporta más que un prompt genérico: plantea la derivación de requisitos a través de requisitos de negocio, requisitos de seguridad y controles técnicos, lo que puede ayudar a generar resultados más estructurados.

Puntos a tener en cuenta

La ejecución operativa se apoya casi por completo en texto: no se proporcionan comandos de instalación, scripts, referencias ni recursos complementarios.
La claridad sobre confianza y adopción es intermedia, porque el repositorio muestra señales de contenido provisional o de prueba y apenas ofrece evidencia vinculada al repositorio más allá del archivo `SKILL.md` .

Security Workflow Documentation Checklist Audit

Resumen

Descripción general de la skill security-requirement-extraction

Qué hace la skill security-requirement-extraction

La skill security-requirement-extraction ayuda a convertir el análisis de amenazas y el contexto de negocio en requisitos de seguridad utilizables. Su función principal no es dar “consejos de seguridad” genéricos, sino hacer una traducción estructurada: pasar de riesgos, casos de abuso y condicionantes de cumplimiento a requisitos, historias de usuario, criterios de aceptación y expectativas de seguridad verificables.

Quién debería usarla

Esta skill encaja especialmente bien para ingenieros de seguridad, arquitectos, equipos de seguridad de producto, analistas de negocio y equipos de delivery que trabajan en Requirements Planning. Resulta especialmente útil cuando ya conoces las amenazas o los objetivos de negocio, pero necesitas expresarlos en una forma que los equipos de producto e ingeniería puedan construir y validar.

Trabajo para el que mejor encaja

Usa security-requirement-extraction cuando necesites responder preguntas como:

“Dadas estas amenazas, ¿qué requisitos de seguridad debería tener el producto?”
“¿Cómo convertimos un threat model en criterios de aceptación?”
“¿Qué historias de usuario de seguridad deberían entrar en el backlog?”
“¿Cómo mapeamos objetivos de protección del negocio a expectativas técnicas?”

Qué la diferencia de un prompt genérico

El principal valor de la security-requirement-extraction skill está en su enfoque. Se centra en categorías de requisitos, tipos de requisitos y atributos de calidad como la trazabilidad y la capacidad de prueba. Eso importa porque muchos prompts corrientes saltan directamente a los controles, mientras que esta skill empuja al modelo a producir requisitos que puedan revisarse, priorizarse y validarse antes de elegir controles.

Qué conviene saber antes de instalarla

Esta skill es ligera: la evidencia del repositorio muestra solo un archivo SKILL.md, sin scripts auxiliares, referencias ni archivos de reglas. Eso facilita la adopción, pero también significa que la calidad de la salida depende mucho de la calidad del contexto que le des como entrada. Si aportas amenazas vagas, obtendrás requisitos vagos.

Cuándo esta skill no es una buena opción

No elijas security-requirement-extraction si en realidad necesitas:

un método completo de threat modeling desde cero
pasos detallados de implementación de controles
interpretación legal de cumplimiento
escaneo automatizado o enforcement de políticas

Su punto fuerte está en la parte media del flujo de trabajo: después de identificar riesgos y antes de diseñar e implementar por completo los controles.

Cómo usar la skill security-requirement-extraction

Contexto de instalación de security-requirement-extraction

Si usas el ecosistema Skills, instálala desde el repositorio que contiene la skill:

npx skills add https://github.com/wshobson/agents --skill security-requirement-extraction

Las señales del repositorio indican que esta skill vive en plugins/security-scanning/skills/security-requirement-extraction, y la fuente práctica que conviene leer primero es:

SKILL.md

Lee primero este archivo

Empieza por SKILL.md antes de hacer cualquier otra cosa. En esta skill, ese archivo contiene la guía operativa real: cuándo usarla, categorías de requisitos, tipos de requisitos y atributos de los requisitos. Como no hay recursos de apoyo ni scripts, la mayor parte de la lógica útil está en ese único archivo.

Qué datos de entrada necesita la skill

Para un uso sólido de security-requirement-extraction, aporta al menos:

descripción del sistema o de la funcionalidad
objetivo de negocio
activos que hay que proteger
amenazas conocidas o casos de uso indebido
roles de usuario y límites de confianza
restricciones de cumplimiento o de políticas aplicables
contexto de despliegue
formato de salida deseado

Sin esa información, la skill puede generar requisitos igualmente, pero serán genéricos y más difíciles de vincular con el riesgo real.

Prompt mínimo viable

Un prompt funcional suele incluir:

el alcance de la funcionalidad o del sistema
las amenazas que quieres traducir
el artefacto de salida que necesitas

Ejemplo:

“Use the security-requirement-extraction skill for Requirements Planning. We are building a customer billing portal. Threats include credential stuffing, privilege escalation, and PII exposure in logs. Derive security requirements grouped by functional, non-functional, and constraint types. Include traceability to each threat and draft acceptance criteria.”

Patrón de prompt más sólido

Un prompt más sólido da al modelo la estructura suficiente para producir requisitos que se puedan revisar:

Contexto de negocio: quién usa el sistema y qué es importante desde el punto de vista comercial
Fuente de amenazas: salidas de STRIDE, casos de abuso, incidentes, hallazgos de pentest o notas de revisión de arquitectura
Límites del sistema: servicios, almacenes de datos, integraciones, rutas de administración
Estilo de requisito: historias de usuario, sentencias con “shall”, elementos de backlog o casos de prueba
Nivel de calidad: verificable, trazable, priorizado y sin duplicados

Ejemplo:

“Use security-requirement-extraction to convert the following threat model into backlog-ready requirements. System: multi-tenant SaaS admin console. Assets: tenant configs, audit logs, API tokens. Threats: broken access control on admin APIs, token leakage in frontend logs, insecure session handling, missing auditability for privileged changes. Constraints: must align with SOC 2 controls and existing SSO platform. Output:

security requirements by type,
linked threat IDs,
rationale,
measurable acceptance criteria,
suggested security test cases.”

Cómo convertir objetivos difusos en mejores prompts

Una petición floja dice: “Dame requisitos de seguridad para esta app”.

Una petición mejor dice:

qué app
qué riesgos
qué datos
qué restricciones
qué forma debe tener la salida

Buen ejemplo de transformación:

Débil:
“Generate security requirements for a healthcare app.”

Mejor:
“Use the security-requirement-extraction skill for a patient portal handling PHI. Threats include unauthorized record access, weak session expiration, insecure file upload, and audit log tampering. Produce functional, non-functional, and constraint requirements with traceability, testability, and acceptance criteria.”

Flujo de trabajo recomendado en la práctica

Un flujo de trabajo práctico para usar esta guía de security-requirement-extraction es:

Reunir el contexto de negocio y el alcance de la funcionalidad.
Recopilar amenazas a partir de un modelo, una revisión de incidentes o notas de arquitectura.
Pedir a la skill candidatos de requisitos por tipo.
Revisar duplicados, supuestos ausentes y redacción no verificable.
Convertir los elementos aprobados en historias de backlog, requisitos de arquitectura o casos de prueba.
Añadir enlaces de trazabilidad a los IDs de amenaza y a las fuentes de cumplimiento.

Aquí es donde la skill aporta más valor: reduce la brecha entre el análisis de seguridad y los artefactos listos para el delivery.

Qué formatos de salida funcionan mejor

Esta skill funciona especialmente bien para generar:

listas de requisitos
historias de usuario de seguridad
criterios de aceptación de seguridad
casos de prueba de seguridad
mapeos entre requisitos y amenazas
insumos para documentación de arquitectura

Si tu equipo usa un formato concreto, pídelo de forma explícita. La estructura de la skill soporta varios estilos de requisitos, pero la salida por defecto será más útil si especificas el artefacto que prefieres.

Consejos prácticos para mejorar la calidad de la salida

Para un mejor uso de security-requirement-extraction:

Proporciona IDs o etiquetas de amenazas para que la trazabilidad sea explícita.
Pide lenguaje medible en lugar de objetivos amplios.
Separa los requisitos de negocio de los controles técnicos.
Solicita supuestos y preguntas abiertas cuando el contexto esté incompleto.
Pide al modelo que marque los requisitos que no se puedan comprobar.

Estos consejos importan porque la skill pone el foco en la calidad del requisito, no solo en generar ideas.

Limitación habitual del repositorio que debes tener en cuenta

Como el repositorio no tiene más recursos auxiliares que SKILL.md, hay menos enforcement incorporado que en skills más completas. Conviene contar con una pasada de revisión para detectar:

exceso de detalle a nivel de control
requisitos duplicados
redacción vaga como “secure”, “appropriate” o “robust”
requisitos que mezclan en una sola línea política, diseño e implementación

FAQ de la skill security-requirement-extraction

¿security-requirement-extraction sirve para Requirements Planning?

Sí. security-requirement-extraction for Requirements Planning encaja muy bien porque ayuda a convertir preocupaciones de seguridad en requisitos, historias y criterios de aceptación listos para backlog. Resulta más útil en la fase de planificación que cuando la implementación ya ha comenzado.

¿Necesito primero un threat model formal?

No, pero sí necesitas alguna entrada de riesgo. Un threat model formal es lo ideal, pero también pueden servir patrones de incidentes, casos de abuso, notas de revisión de seguridad o riesgos de arquitectura. Cuanto mejor sea la entrada sobre amenazas, mejor será la salida de requisitos.

¿En qué se diferencia de pedirle requisitos de seguridad a un LLM?

Un prompt genérico suele producir una checklist poco estructurada. La security-requirement-extraction skill es más disciplinada con las categorías de requisitos, los tipos de requisitos y atributos como la trazabilidad y la verificabilidad. Esa estructura suele dar lugar a artefactos que los equipos pueden revisar e implementar con más facilidad.

¿Es una skill adecuada para principiantes?

Moderadamente. La instalación es sencilla, pero para obtener buenos resultados necesitas aportar contexto útil. Las personas con menos experiencia también pueden usarla, pero deberían contar con iteraciones y quizá necesiten ayuda para distinguir entre requisitos y controles.

¿Puede producir controles técnicos directamente?

Puede sugerirlos, pero ese no es el objetivo principal de la skill. La skill está diseñada para pasar primero de necesidades de negocio y amenazas a requisitos de seguridad. Esa separación es útil cuando quieres mantener flexibilidad en la solución o necesitas revisión de stakeholders antes de tomar decisiones de implementación.

¿Cuándo no debería usar security-requirement-extraction?

Evítala si tu necesidad inmediata es:

guía de remediación de código
configuración de escáneres
herramientas de validación de controles
interpretación de cumplimiento con nivel legal
un paquete completo de diseño de arquitectura segura

En esos casos, esta skill puede aportar insumos, pero no debería ser tu método principal.

Cómo mejorar la skill security-requirement-extraction

Da mejores entradas de amenazas, no solo más texto

La forma más rápida de mejorar la salida de security-requirement-extraction es aportar amenazas más claras. “Riesgo de filtración de datos” es débil. “Acceso no autorizado entre tenants por falta de comprobaciones de autorización en endpoints de reporting” es fuerte. Las amenazas específicas producen requisitos más verificables y menos genéricos.

Separa requisitos de controles

Un fallo habitual es pedir requisitos y recibir decisiones de implementación demasiado pronto. Mejora los resultados pidiendo:

statement del requisito
justificación
criterios de aceptación
posibles controles como campo opcional separado

Así el requisito sigue siendo reutilizable aunque cambie tu stack tecnológico.

Pide trazabilidad de forma explícita

Si la trazabilidad importa, dilo en el prompt. Por ejemplo:

mapear cada requisito a un ID de amenaza
mapearlo a un objetivo de negocio
mapearlo a una fuente de cumplimiento cuando corresponda

Esto hace que la security-requirement-extraction skill sea más útil en auditorías, revisiones de arquitectura y afinado de backlog.

Fuerza un lenguaje verificable

Muchas salidas iniciales usan redacción blanda. Pide al modelo que reescriba cada requisito para que pueda validarse. Buenos añadidos incluyen:

umbrales medibles
expectativas de cobertura de eventos
alcance de actores y datos
criterios de aceptación de tipo pass/fail

Una redacción verificable mejora de forma notable su utilidad posterior para ingeniería.

Pide priorización cuando la presión del backlog sea real

Si necesitas apoyo para decidir, pide a la skill que clasifique los requisitos por:

must-have vs should-have
pre-launch vs post-launch
severidad de la amenaza
criticidad de cumplimiento

Eso ayuda a los equipos a no generar una lista grande pero poco utilizable.

Usa una iteración para eliminar ambigüedad

Después del primer borrador, pregunta:

¿qué requisitos están duplicados?
¿cuáles son demasiado vagos para probarse?
¿cuáles dependen de decisiones de arquitectura aún no resueltas?
¿cuáles son en realidad controles y no requisitos?

Este prompt de revisión suele mejorar más la salida que pedir un borrador completamente nuevo.

Añade límites del sistema y supuestos

La skill rinde mejor cuando especificas límites como:

solo interno vs expuesto a internet
single-tenant vs multi-tenant
identidad gestionada vs autenticación local
clases de datos sensibles
capacidades de administración

Estos detalles cambian de forma material los requisitos resultantes, especialmente en control de acceso, logging y tratamiento de datos.

Mejora la salida con solicitudes específicas del artefacto

Si ya conoces el entregable, nómbralo. Por ejemplo:

“write security user stories”
“produce acceptance criteria”
“derive security test cases”
“draft architecture security requirements”

La skill puede cubrir todo eso, pero la salida mejora cuando el artefacto objetivo se especifica de forma explícita.

Valida el conjunto final antes de adoptarlo

Antes de dar el resultado por cerrado, comprueba que cada requisito:

esté vinculado a un riesgo real o a una necesidad de negocio
sea entendible para stakeholders no especializados en seguridad
pueda probarse sin tener que adivinar la intención
no sea simplemente una declaración de control copiada
esté acotado al límite real del sistema

Ese paso final de validación es donde security-requirement-extraction install realmente merece la pena en la práctica: convierte una skill simple en una ayuda de planificación repetible, en lugar de un prompt aislado.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

prd-development

por deanpeters

La skill de prd-development te ayuda a convertir notas de discovery en un PRD estructurado con planteamiento del problema, usuarios, solución, alcance y criterios de éxito. Úsala para traspaso a ingeniería, planificación de nuevas funcionalidades y prd-development para Technical Writing.

Technical Writing

Favoritos 0GitHub 4.1k

problem-framing-canvas

por deanpeters

La skill problem-framing-canvas guía a los equipos a través del Problem Framing Canvas de MITRE para aclarar solicitudes confusas antes de pensar en soluciones. Úsala para apoyar decisiones cuando las partes interesadas no se ponen de acuerdo, las suposiciones no están claras o necesitas formular mejor el problema y la pregunta How Might We.

Decision Support

Favoritos 0GitHub 4.1k

product-manager-skills

por Digidai

product-manager-skills es una skill de operador de producto para Claude Code, Codex, Cursor y Windsurf. Ayuda con la revisión de PRD, el diagnóstico de métricas SaaS, las decisiones de trade-off de roadmap, la planificación de discovery, el coaching de PM y la estrategia de PLG. Está pensada para mejorar el criterio de producto, explicitar supuestos y tomar decisiones más precisas en trabajo de Product Management.

Product Management

Favoritos 0GitHub 0

product-strategy-session

por deanpeters

product-strategy-session guía una sesión estructurada de estrategia de producto, desde el posicionamiento y el descubrimiento hasta la priorización y la planificación del roadmap. Encaja con equipos de Product Management, fundadores y líderes multifuncionales que necesitan una dirección validada antes de ejecutar, con un flujo de trabajo repetible que reduce las conjeturas.

Product Management

Favoritos 0GitHub 0

brainstorming

por obra

brainstorming es una skill de preimplementación que explora el contexto, plantea preguntas de aclaración de una en una y exige aprobar el diseño antes de escribir código. Incluye un acompañamiento visual opcional y un sólido soporte para la planificación de requisitos.

Requirements Planning

Favoritos 1GitHub 121.7k

qa-test-planner

por softaworks

qa-test-planner es una skill de QA con activación explícita para crear planes de prueba, casos de prueba manuales, suites de regresión, notas de validación de diseños en Figma e informes de bugs estructurados a partir del contexto de una funcionalidad o una release.

Acceptance Testing

Favoritos 0GitHub 0

gepetto

por softaworks

gepetto es una skill de planificación estructurada que convierte una especificación en markdown en planes de implementación investigados y organizados por secciones mediante entrevistas, síntesis, revisión externa y salidas basadas en archivos. Encaja mejor en la planificación de requisitos para funcionalidades complejas que en tareas rápidas de código.

Requirements Planning

Favoritos 0GitHub 0

product-capability

por affaan-m

product-capability convierte la intención de un PRD, las peticiones de roadmap o las conversaciones de producto en un plan de capacidades listo para implementar, con restricciones, invariantes, interfaces y decisiones pendientes. Úsala para la planificación de requisitos cuando el trabajo entre varios servicios necesite un artefacto duradero de skill product-capability en lugar de una prosa de planificación vaga.

Requirements Planning

Favoritos 0GitHub 156.2k

idea-refine

por addyosmani

idea-refine es una skill estructurada de ideación que convierte conceptos vagos en direcciones más claras y viables mediante pensamiento divergente, crítica y convergencia. Ayuda a fundadores, responsables de producto, ingenieros y agentes de IA en la planificación de requisitos al producir un one-pager concreto con supuestos, alcance y una lista de lo que no se hará.

Requirements Planning

Favoritos 0GitHub 18.7k

wwas

por phuryn

wwas es una skill de prompts para Requirements Planning que convierte ideas vagas en backlog items con formato Why-What-Acceptance. Usa la skill wwas para capturar el contexto de negocio, definir el cambio con claridad y redactar criterios de aceptación comprobables para trabajo listo para sprint.

Requirements Planning

Favoritos 0GitHub 11k

inventory-demand-planning

por affaan-m

inventory-demand-planning es una habilidad de soporte a la decisión para retail que ayuda a pronosticar la demanda, definir stock de seguridad, planificar reposiciones y estimar el impacto promocional en tiendas y centros de distribución. Úsala para orientar el uso de inventory-demand-planning con entradas estructuradas, restricciones prácticas y un análisis más claro de las compensaciones de planificación.

Decision Support

Favoritos 0GitHub 156.2k

writing-plans

por obra

writing-plans ayuda a convertir una especificación o documento de requisitos en un plan de implementación detallado, con orientación por archivo, secuencia de tareas, pasos de prueba y una pauta de revisión antes de empezar a programar.

Requirements Planning

Favoritos 0GitHub 121.9k

team-composition-analysis

por wshobson

team-composition-analysis ayuda a fundadores, operadores y responsables de recruiting a planificar la contratación en startups en etapa inicial según la fase, el ARR y el presupuesto. Úsala para definir la secuencia de incorporación de roles, diseñar la estructura del equipo y estimar compensación y equity desde pre-seed hasta Series A.

Recruiting

Favoritos 0GitHub 32.6k

track-management

por wshobson

La skill track-management ayuda a los equipos a crear, gestionar y completar tracks de Conductor con `spec.md`, `plan.md`, metadatos de ciclo de vida y la guía de flujo de trabajo de `tracks.md`.

Project Management

Favoritos 0GitHub 32.6k

task-coordination-strategies

por wshobson

task-coordination-strategies ayuda a los equipos a descomponer trabajo complejo, mapear dependencias, definir criterios de aceptación y coordinar flujos de trabajo paralelos entre agentes o colaboradores, con responsabilidades más claras y menos conflictos de merge.

Project Management

Favoritos 0GitHub 32.5k

planning-and-task-breakdown

por addyosmani

La skill planning-and-task-breakdown convierte una especificación, una solicitud de funcionalidad o un objetivo desordenado en tareas ordenadas y ejecutables, con dependencias claras y criterios de aceptación. Ayuda con planning-and-task-breakdown para Project Management, trabajo en paralelo y estimación de alcance, al tiempo que reduce las conjeturas antes de implementar.

Project Management

Favoritos 0GitHub 18.7k