security-requirement-extraction
作者 wshobsonsecurity-requirement-extraction 可将威胁模型和业务背景转化为可测试的安全需求、用户故事、验收标准以及适用于 Requirements Planning 的待办项输出。
该技能评分为 68/100,说明它可以收录到目录中供用户发现,但更适合被视为一份以文档为主的提示指南,而不是一个可直接运行的完整技能。仓库对其用途的说明较为可信,并提供了较完整的书面流程,用于将威胁分析转化为安全需求、用户故事、测试用例和验收标准;但在安装层面的清晰度仍然有限,因为仓库没有提供配套文件、可运行资源或明确的设置说明。
- 触发场景清晰:描述和用例明确说明了何时使用它来把威胁模型转化为可执行的安全需求。
- 文档内容扎实:`SKILL.md` 篇幅较长且结构完整,包含多个章节、概念、约束和示例,而不是一个占位性质的空壳说明。
- 相较于通用 prompt,更能发挥 agent 的价值:它围绕业务需求、安全需求和技术控制来组织需求推导过程,有助于产出更结构化的结果。
- 实际可执行性基本停留在文字说明层面:没有提供安装命令、脚本、参考资料或配套资源。
- 可信度和采用判断仍属中等:仓库中可见一些占位/测试信号,除单个 `SKILL.md` 文件外,几乎没有更多与仓库内容相互印证的证据。
security-requirement-extraction 技能概览
security-requirement-extraction 技能能做什么
security-requirement-extraction 技能的作用,是把威胁分析和业务上下文转化为可落地的安全需求。它的核心价值不是泛泛而谈的“安全建议”,而是做结构化转换:把风险、滥用场景和合规驱动因素,整理成需求、用户故事、验收标准,以及可测试的安全预期。
谁适合使用它
这个技能最适合安全工程师、架构师、产品安全团队、业务分析师,以及负责 Requirements Planning 的交付团队。尤其是在你已经知道主要威胁或业务目标,但还需要把它们表达成产品和工程团队可以实现、可以验证的形式时,它会特别有用。
最适合解决什么问题
当你需要回答下面这类问题时,就适合使用 security-requirement-extraction:
- “基于这些威胁,产品应该具备哪些安全需求?”
- “怎样把 threat model 转成 acceptance criteria?”
- “哪些安全 user stories 应该进入 backlog?”
- “如何把业务保护目标映射为技术上的明确预期?”
它和通用提示词的区别在哪里
security-requirement-extraction skill 的主要价值在于它的 framing。它强调需求类别、需求类型,以及可追踪性、可测试性这类需求质量属性。这一点很重要,因为很多普通提示会直接跳到控制措施,而这个技能会推动模型先产出可评审、可排序、可验证的需求,再进入控制设计阶段。
安装前需要知道什么
这个技能非常轻量:从仓库内容看,只有一个 SKILL.md 文件,没有 helper scripts、references 或 rule files。好处是上手简单;但代价也很明确——输出质量会高度依赖你提供的上下文质量。如果你给的是模糊威胁,得到的也会是模糊需求。
哪些情况下它并不适合
如果你的真实需求是下面这些,就不建议选择 security-requirement-extraction:
- 从零开始的完整 threat modeling 方法
- 细到实现层的控制落地步骤
- 合规条文的法律解释
- 自动化扫描或策略执行
它最强的阶段是在工作流中段:已经识别出风险,但还没把控制方案完全设计和实现之前。
如何使用 security-requirement-extraction 技能
security-requirement-extraction 的安装方式
如果你使用 Skills 生态,可以从包含该技能的仓库直接安装:
npx skills add https://github.com/wshobson/agents --skill security-requirement-extraction
从仓库信号来看,这个技能位于 plugins/security-scanning/skills/security-requirement-extraction,实际最值得优先阅读的源码文件是:
SKILL.md
先读这个文件
在做任何事情之前,先看 SKILL.md。对这个技能来说,这个文件就是实际的操作指南:什么时候用、有哪些需求类别、有哪些需求类型、需求属性怎么组织。由于没有额外资源或脚本,大部分真正可用的逻辑都集中在这一个文件里。
这个技能需要什么输入
想把 security-requirement-extraction 用好,至少建议提供:
- 系统或功能描述
- 业务目标
- 需要保护的资产
- 已知威胁或误用场景
- 用户角色与 trust boundaries
- 适用的合规或策略约束
- 部署上下文
- 期望的输出格式
如果缺少这些信息,这个技能仍然能生成需求,但结果通常会更泛,也更难回溯到真实风险。
最小可用提示词
一个能工作的 prompt 通常至少要包含:
- 功能或系统范围
- 你希望被转译的威胁
- 你需要的输出产物类型
示例:
“Use the security-requirement-extraction skill for Requirements Planning. We are building a customer billing portal. Threats include credential stuffing, privilege escalation, and PII exposure in logs. Derive security requirements grouped by functional, non-functional, and constraint types. Include traceability to each threat and draft acceptance criteria.”
更强的提示词结构
更好的 prompt 会给模型足够的结构,让产出的需求可评审、可落地:
- Business context: 谁在使用系统、业务上最重要的是什么
- Threat source: STRIDE 输出、abuse cases、事故记录、pentest findings 或架构评审记录
- System boundaries: 服务、数据存储、集成点、管理员路径
- Requirement style: user stories、shall statements、backlog items 或 test cases
- Quality bar: 可测试、可追踪、可排序、避免重复
示例:
“Use security-requirement-extraction to convert the following threat model into backlog-ready requirements. System: multi-tenant SaaS admin console. Assets: tenant configs, audit logs, API tokens. Threats: broken access control on admin APIs, token leakage in frontend logs, insecure session handling, missing auditability for privileged changes. Constraints: must align with SOC 2 controls and existing SSO platform. Output:
- security requirements by type,
- linked threat IDs,
- rationale,
- measurable acceptance criteria,
- suggested security test cases.”
如何把模糊目标改写成更好的 prompt
一个较弱的请求通常会说:“给这个 app 生成安全需求。”
更好的请求会明确:
- 是什么 app
- 有哪些风险
- 涉及什么数据
- 有什么约束
- 输出长什么样
好的改写示例:
Weak:
“Generate security requirements for a healthcare app.”
Better:
“Use the security-requirement-extraction skill for a patient portal handling PHI. Threats include unauthorized record access, weak session expiration, insecure file upload, and audit log tampering. Produce functional, non-functional, and constraint requirements with traceability, testability, and acceptance criteria.”
在实际工作中的推荐流程
一套实用的 security-requirement-extraction 使用流程通常是:
- 收集业务上下文和功能范围。
- 从 threat model、事故复盘或架构说明中汇总威胁。
- 让技能按类型生成候选需求。
- 评审是否有重复项、缺失前提、不可测试的表述。
- 把通过评审的内容转成 backlog stories、架构需求或 test cases。
- 给每项内容补上指向 threat ID 和合规来源的追踪链接。
这正是这个技能最能体现价值的地方:它能缩短安全分析与可交付产物之间的距离。
哪些输出格式最适合
这个技能尤其擅长生成:
- 需求清单
- 安全 user stories
- 安全 acceptance criteria
- 安全 test cases
- 需求到威胁的映射
- 架构文档输入项
如果你的团队已有固定格式,直接在 prompt 里说清楚。这个技能本身支持多种需求表达方式,但如果你明确指定目标产物,默认输出会更实用。
提升输出质量的实用技巧
想把 security-requirement-extraction 用得更好,可以这样做:
- 提供 threat ID 或标签,让 traceability 更明确。
- 要求使用可衡量的语言,而不是宽泛目标。
- 把业务需求和技术控制分开。
- 在上下文不完整时,要求模型列出 assumptions 和 open questions。
- 要求模型标记哪些需求不可测试。
这些技巧之所以重要,是因为这个技能强调的是需求质量,而不只是点子生成。
需要考虑的常见仓库限制
由于这个仓库除了 SKILL.md 外没有其他 helper assets,相比更完整的技能包,它的内建约束会更少。因此你最好预留一轮人工评审,重点检查:
- 是否过早下沉到控制层
- 是否存在重复需求
- 是否出现 “secure”“appropriate”“robust” 这类模糊措辞
- 是否把 policy、design 和 implementation 混在同一条需求里
security-requirement-extraction 技能 FAQ
security-requirement-extraction 适合做 Requirements Planning 吗?
适合。security-requirement-extraction for Requirements Planning 非常契合这一场景,因为它能把安全关注点转成适合进入 backlog 的需求、stories 和 acceptance criteria。相比在实现已经开始之后再用,它在规划阶段更有价值。
我必须先有正式的 threat model 吗?
不一定,但你至少需要某种风险输入。正式的 threat model 当然最好,但事故模式、abuse cases、安全评审记录或架构风险同样可以作为输入。威胁输入越好,输出的需求质量通常也越高。
它和直接让 LLM 生成安全需求有什么不同?
通用 prompt 往往只会产出一份比较松散的 checklist。security-requirement-extraction skill 在需求类别、需求类型,以及 traceability、testability 这类需求属性上更有约束。这种结构通常会让团队更容易评审和实施输出结果。
这个技能对新手友好吗?
算是中等友好。安装很简单,但想拿到高质量结果,你仍然需要提供有用的上下文。新手也能用,只是要有迭代的心理预期,而且可能需要他人协助区分“需求”和“控制”。
它能直接产出技术控制吗?
可以给出建议,但这不是这个技能的重点。它的设计意图,是先从业务需求和威胁出发,形成安全需求;之后再考虑具体控制方案。当你希望保留方案灵活性,或者需要在实现决策前先经过 stakeholder review 时,这种分离会很有价值。
什么情况下不该使用 security-requirement-extraction?
如果你当前最迫切的需求是以下内容,就应跳过它:
- 代码修复指导
- scanner 配置
- control validation tooling
- 法律级别的合规解释
- 完整的安全架构设计方案
在这些场景里,这个技能可以提供输入,但不应该作为主要方法。
如何改进 security-requirement-extraction 技能的使用效果
与其给更多文字,不如给更好的威胁输入
提升 security-requirement-extraction 输出质量最快的方法,就是把威胁写得更清楚。比如,“Data breach risk” 很弱;而 “Unauthorized tenant-to-tenant data access via missing authorization checks in reporting endpoints” 就很强。威胁越具体,产出的需求通常越可测试,也越不容易流于泛泛而谈。
把需求和控制措施分开
一个常见失败模式是:你明明在要需求,模型却过早给出了实现决策。更好的做法是要求分别输出:
- requirement statement
- rationale
- acceptance criteria
- 把 possible controls 作为单独的可选字段
这样即使你的技术栈变化,需求本身仍然可复用。
明确要求可追踪性
如果 traceability 对你很重要,就在 prompt 里直接说明。例如:
- 把每项需求映射到 threat ID
- 映射到 business objective
- 在相关场景下映射到 compliance source
这样会让 security-requirement-extraction skill 在审计、架构评审和 backlog grooming 中更有用。
强制使用可测试的表述
很多第一版输出都会使用偏软的措辞。你可以要求模型重写每条需求,使其能够被验证。常见的增强项包括:
- 可衡量阈值
- 事件覆盖范围预期
- actor 与数据范围
- pass/fail acceptance criteria
可测试的表达会显著提升后续工程落地的可用性。
当 backlog 压力很大时,要求它做优先级划分
如果你需要的是决策支持,可以让技能按以下维度给需求分类:
- must-have vs should-have
- pre-launch vs post-launch
- threat severity
- compliance criticality
这样可以避免团队最后拿到一长串看似完整、实际却很难使用的列表。
用一轮迭代来消除歧义
第一版出来后,可以继续追问:
- 哪些需求是重复的?
- 哪些表述过于模糊,无法测试?
- 哪些依赖尚未确定的架构决策?
- 哪些其实是控制,而不是需求?
这种 review prompt 往往比“重新给我一版全新的草稿”更能提升输出质量。
补充系统边界和前提假设
当你明确边界条件时,这个技能通常会表现得更好,例如:
- internal-only vs internet-facing
- single-tenant vs multi-tenant
- managed identity vs local auth
- 敏感数据类别
- 管理员能力范围
这些信息会实质性改变生成结果,尤其是在访问控制、日志和数据处理方面。
用明确产物类型提升输出质量
如果你已经知道最终交付物是什么,就直接说出来。例如:
- “write security user stories”
- “produce acceptance criteria”
- “derive security test cases”
- “draft architecture security requirements”
这个技能都能覆盖,但当目标产物明确时,输出通常会更强。
采用前先校验最终结果
在把结果当成定稿之前,确认每条需求都满足以下条件:
- 能关联到真实风险或业务需求
- 非安全背景的 stakeholder 也能理解
- 不需要猜测意图就可以测试
- 不只是复制了一条控制声明
- 范围与实际系统边界一致
这最后一步校验,正是 security-requirement-extraction 安装后能否真正发挥价值的关键:它能把一个简单技能,变成可重复使用的规划辅助工具,而不是一次性 prompt。