Adoption

Agent Skills are supported by leading AI development tools.

VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory

686f6c61/threat-model

Name: threat-model
Author: 686f6c61

skills/seguridad/threat-model/SKILL.md

npx skillsauth add 686f6c61/alfred-dev threat-model

Clean

TrivyContainer and dependency vulnerability scanner

Clean

SemgrepStatic code analysis for vulnerabilities

Clean

mcp-scan (Snyk)Model Context Protocol security validation

Error

VirusTotalMulti-engine malware detection

Skipped

Snyk (dep)Open source security scanning

Skipped

Socket.devSupply chain security analysis

Skipped

CrowdStrikeAdvanced threat intelligence

Skipped

OSV-ScannerOpen Source Vulnerability database check

Skipped

OWASP Dep-Check

Modelado de amenazas STRIDE

Resumen

Este skill aplica la metodología STRIDE para identificar y clasificar amenazas de seguridad en el sistema. STRIDE es un modelo desarrollado por Microsoft que categoriza las amenazas en seis tipos, proporcionando un framework sistemático para no dejarse nada en el tintero.

El modelado de amenazas se hace idealmente al principio del desarrollo (cuando es más barato corregir), pero también es valioso como ejercicio periódico para sistemas existentes.

Proceso

Identificar los componentes del sistema. Listar todos los elementos relevantes:
- Aplicaciones y servicios.
- Bases de datos y almacenes de datos.
- APIs e interfaces externas.
- Infraestructura (servidores, redes, balanceadores).
- Usuarios y roles.
- Flujos de datos entre componentes.
Generar diagrama de flujo de datos (DFD). Dibujar con Mermaid los flujos de datos entre componentes, identificando los límites de confianza (trust boundaries). Las amenazas suelen concentrarse en los puntos donde los datos cruzan un límite de confianza.
Aplicar STRIDE a cada componente. Para cada elemento del diagrama, evaluar las seis categorías:

| Categoría | Descripción | Pregunta clave | |-----------|-------------|----------------| | Spoofing (suplantación) | Un atacante se hace pasar por otro usuario o sistema. | Cómo se verifica la identidad en este punto? | | Tampering (manipulación) | Un atacante modifica datos en tránsito o en reposo. | Cómo se garantiza la integridad de los datos? | | Repudiation (repudio) | Un usuario niega haber realizado una acción. | Hay registro de auditoría fiable? | | Information Disclosure (fuga de información) | Datos sensibles se exponen a quien no debería verlos. | Qué datos se exponen y a quién? | | Denial of Service (denegación de servicio) | El sistema se vuelve inaccesible para usuarios legítimos. | Qué recursos se pueden agotar? | | Elevation of Privilege (elevación de privilegios) | Un usuario obtiene permisos que no le corresponden. | Cómo se aplican los controles de acceso? |
Clasificar cada amenaza por riesgo. Usar una matriz de probabilidad e impacto:
- Probabilidad: alta (fácil de explotar, atacante poco sofisticado) / media / baja (requiere acceso interno y conocimiento especializado).
- Impacto: crítico (pérdida de datos, brecha de seguridad) / alto (interrupción del servicio) / medio (degradación parcial) / bajo (molestia menor).
Proponer mitigaciones para cada amenaza. Las mitigaciones deben ser concretas y accionables:
- No: "mejorar la seguridad".
- Sí: "implementar rate limiting de 100 peticiones/minuto en el endpoint de login".
Priorizar por ratio riesgo/esfuerzo. Las mitigaciones de alto impacto y bajo esfuerzo van primero. Las de bajo impacto y alto esfuerzo se documentan pero se posponen.
Documentar el modelo. Utilizar templates/threat-model.md si existe. Guardar en la documentación del proyecto para referencia futura.

Criterios de éxito

Todos los componentes del sistema han sido evaluados contra las 6 categorías STRIDE.
Las amenazas están clasificadas por probabilidad e impacto.
Cada amenaza tiene al menos una mitigación propuesta.
Las mitigaciones están priorizadas por ratio riesgo/esfuerzo.
El modelo de amenazas está documentado y es mantenible.
Las amenazas y mitigaciones se han registrado en la memoria del proyecto.

Paso de memoria

Registrar las amenazas identificadas y las mitigaciones propuestas en la memoria del proyecto con memory_log_decision. Esto permite hacer seguimiento del estado de las mitigaciones entre sesiones y detectar si aparecen nuevas superficies de ataque con la evolución del sistema.

Qué NO hacer

No modelar amenazas en abstracto sin conocer la arquitectura real del sistema. El modelo debe partir de los componentes y flujos de datos concretos, no de una lista genérica.
No limitarse a las amenazas técnicas. Las amenazas organizativas (ingeniería social, acceso físico, insiders) también son relevantes si el sistema maneja datos sensibles.
No dejar el modelo de amenazas como un documento estático. Debe revisarse cuando cambia la arquitectura, se añaden integraciones o se despliega en un nuevo entorno.
No proponer mitigaciones vagas como "mejorar la seguridad". Cada mitigación debe ser concreta, implementable y verificable.

686f6c61/threat-model

skills/seguridad/threat-model/SKILL.md

Usar para modelar amenazas con metodología STRIDE. También: análisis de amenazas, STRIDE, superficie de ataque, vectores de ataque, modelado de amenazas.

38 stars

testing

Updated Mar 25, 2026

$ install --global

skillsauth

npx skillsauth add 686f6c61/alfred-dev threat-model

Install this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.

Security Scan Results

3 of 9 scanners reported clean

Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.

Scanners Passed

Scanners in report

Clean

TrivyContainer and dependency vulnerability scanner

95%

Clean

SemgrepStatic code analysis for vulnerabilities

95%

Clean

mcp-scan (Snyk)Model Context Protocol security validation

95%

Error

VirusTotalMulti-engine malware detection

70%

Skipped

Snyk (dep)Open source security scanning

50%

Skipped

Socket.devSupply chain security analysis

50%

Skipped

CrowdStrikeAdvanced threat intelligence

50%

Skipped

OSV-ScannerOpen Source Vulnerability database check

50%

Skipped

OWASP Dep-Check

50%

Last scanned: Mar 25, 2026, 8:47 PM42.1s1 file scanned

SKILL.md

name:: threat-model
description:: Usar para modelar amenazas con metodología STRIDE. También: análisis de amenazas, STRIDE, superficie de ataque, vectores de ataque, modelado de amenazas.

Modelado de amenazas STRIDE

Resumen

El modelado de amenazas se hace idealmente al principio del desarrollo (cuando es más barato corregir), pero también es valioso como ejercicio periódico para sistemas existentes.

Proceso

Identificar los componentes del sistema. Listar todos los elementos relevantes:
- Aplicaciones y servicios.
- Bases de datos y almacenes de datos.
- APIs e interfaces externas.
- Infraestructura (servidores, redes, balanceadores).
- Usuarios y roles.
- Flujos de datos entre componentes.
Generar diagrama de flujo de datos (DFD). Dibujar con Mermaid los flujos de datos entre componentes, identificando los límites de confianza (trust boundaries). Las amenazas suelen concentrarse en los puntos donde los datos cruzan un límite de confianza.
Aplicar STRIDE a cada componente. Para cada elemento del diagrama, evaluar las seis categorías:

| Categoría | Descripción | Pregunta clave | |-----------|-------------|----------------| | Spoofing (suplantación) | Un atacante se hace pasar por otro usuario o sistema. | Cómo se verifica la identidad en este punto? | | Tampering (manipulación) | Un atacante modifica datos en tránsito o en reposo. | Cómo se garantiza la integridad de los datos? | | Repudiation (repudio) | Un usuario niega haber realizado una acción. | Hay registro de auditoría fiable? | | Information Disclosure (fuga de información) | Datos sensibles se exponen a quien no debería verlos. | Qué datos se exponen y a quién? | | Denial of Service (denegación de servicio) | El sistema se vuelve inaccesible para usuarios legítimos. | Qué recursos se pueden agotar? | | Elevation of Privilege (elevación de privilegios) | Un usuario obtiene permisos que no le corresponden. | Cómo se aplican los controles de acceso? |
Clasificar cada amenaza por riesgo. Usar una matriz de probabilidad e impacto:
- Probabilidad: alta (fácil de explotar, atacante poco sofisticado) / media / baja (requiere acceso interno y conocimiento especializado).
- Impacto: crítico (pérdida de datos, brecha de seguridad) / alto (interrupción del servicio) / medio (degradación parcial) / bajo (molestia menor).
Proponer mitigaciones para cada amenaza. Las mitigaciones deben ser concretas y accionables:
- No: "mejorar la seguridad".
- Sí: "implementar rate limiting de 100 peticiones/minuto en el endpoint de login".
Priorizar por ratio riesgo/esfuerzo. Las mitigaciones de alto impacto y bajo esfuerzo van primero. Las de bajo impacto y alto esfuerzo se documentan pero se posponen.
Documentar el modelo. Utilizar templates/threat-model.md si existe. Guardar en la documentación del proyecto para referencia futura.

Criterios de éxito

Todos los componentes del sistema han sido evaluados contra las 6 categorías STRIDE.
Las amenazas están clasificadas por probabilidad e impacto.
Cada amenaza tiene al menos una mitigación propuesta.
Las mitigaciones están priorizadas por ratio riesgo/esfuerzo.
El modelo de amenazas está documentado y es mantenible.
Las amenazas y mitigaciones se han registrado en la memoria del proyecto.

Paso de memoria

Qué NO hacer

No modelar amenazas en abstracto sin conocer la arquitectura real del sistema. El modelo debe partir de los componentes y flujos de datos concretos, no de una lista genérica.
No limitarse a las amenazas técnicas. Las amenazas organizativas (ingeniería social, acceso físico, insiders) también son relevantes si el sistema maneja datos sensibles.
No dejar el modelo de amenazas como un documento estático. Debe revisarse cuando cambia la arquitectura, se añaden integraciones o se despliega en un nuevo entorno.
No proponer mitigaciones vagas como "mejorar la seguridad". Cada mitigación debe ser concreta, implementable y verificable.

Related Skills

686f6c61/style-direction

testing

VerifiedTrustedCommunity

Abrir y operar el companion visual de Selina para elegir una direccion de estilo en proyectos con interfaz. Skill manual: levanta un servidor local y escribe artefactos visuales.

48SKILL.mdUpdated May 2, 2026

686f6c61/style-direction

686f6c61/repo-setup

tools

VerifiedTrustedCommunity

Configurar un repositorio GitHub con branch protection, templates y labels

48SKILL.mdUpdated Mar 25, 2026

686f6c61/release

tools

VerifiedTrustedCommunity

Crear releases con versionado semantico, notas y artefactos

48SKILL.mdUpdated Mar 25, 2026

686f6c61/pr-workflow

testing

VerifiedTrustedCommunity

Crear pull requests completas con descripcion, labels y reviewers

48SKILL.mdUpdated Mar 25, 2026

Download

For Claude Desktop. Download once, then upload the file in the app — no terminal needed.

Need help? View full Cowork setup guide →

Install manually

Choose your platform

# Clone the repo
git clone https://github.com/686f6c61/alfred-dev.git

# Copy into Claude Code skills folder (global)
cp -r alfred-dev/skills/seguridad/threat-model ~/.claude/skills/

Claude Code Skills — official skills path docs.

Repository

686f6c61/alfred-dev

38 stars

Compatible with

Claude Code

OpenAI Codex CLI

ChatGPT