Skill

threat-modeling

STRIDE bazlı threat modeling — asset inventory, trust boundary, data flow diagram, abuse case, risk skoru (DREAD/CVSS), mitigation tracking. Security review'un proaktif yüzü.

npx claudepluginhub resultakak/argos --plugin argos

Tool Access

This skill uses the workspace's default tool permissions.

Preview

`agents/shared/severity-rubric.md` ve `agents/shared/escalation-matrix.md` default-load

SKILL.md

Similar Skills

using-superpowers

185.1k

Mandates invoking relevant skills via tools before any response in coding sessions. Covers access, priorities, and adaptations for Claude Code, Copilot CLI, Gemini CLI.

3 files

superpowers

Stats

Stars0

Forks0

Last CommitMay 11, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

Threat Modeling

Ortak Doktrin

agents/shared/severity-rubric.md ve agents/shared/escalation-matrix.md default-load sayılır (agents/coordination.md §11). Bu skill'in çıktısı Critical / High / Medium / Low + kanıt formatında olmak zorunda — spekülatif Critical yasak. Sahiplik dışı bulgu ilgili agent'a delege; karar yetkisi eşiği aşılırsa kullanıcı onayı zorunlu.

Ne Zaman Kullanılır

Yeni servis tasarım fazı (kod yazılmadan önce ideal)
Major mimari değişiklik (yeni external API, yeni veri tipi, yeni auth flow)
Compliance gate (SOC 2 / ISO 27001 / PCI / HIPAA)
Pen-test öncesi self-review
Incident sonrası (security incident — saldırı yüzeyi haritası)
Customer security review (B2B sales gereksinimi)

Felsefe

Reactive değil proactive. Security review kod sonrası; threat model tasarım öncesi.
Asset-based. "Neyi koruyoruz?" → "Hangi tehdit?" → "Mitigation?".
Sistemik. Tek bug değil, saldırı yüzeyi haritası.
Yapılandırılmış: STRIDE (Microsoft) en yaygın; LINDDUN privacy odaklı.

Workflow

1) Scope tanımla

Sistem sınırı: hangi servis, hangi component'ler dahil?
Out-of-scope: nelere bakmıyoruz? (bilinçli sınır)
Audience: kim için? (internal review / customer / auditor)

2) Asset inventory

Asset	Türü	Hassasiyet	Sahip
Customer PII (email, address)	Veri	High	data-team
Payment card data (PCI)	Veri	Critical	payments-team
API auth tokens	Veri	High	platform-team
Internal admin endpoint	Yetenek	High	platform-team
Public product catalog	Veri	Low	api-team
Order DB (postgres)	Sistem	Critical	api-team

Hassasiyet = Critical / High / Medium / Low. Veri tipi (PII / PHI / PCI / IP / public) belirleyici.

3) Trust boundary + DFD (Data Flow Diagram)

Trust boundary: farklı güven seviyesindeki bölgeler arası sınır (internet ↔ DMZ ↔ internal network ↔ database).

              [Internet]
                  │ (TLS 1.3)
                  ▼
        ┌─────────────────────┐
        │   API Gateway       │  trust boundary 1
        │   (rate limit, JWT) │
        └────────┬────────────┘
                 │ (mTLS)
                 ▼
        ┌─────────────────────┐
        │   api-svc           │  trust boundary 2
        │   (RBAC enforced)   │
        └─────┬───────────────┘
              │ (TLS, read-only DB user)
              ▼
        ┌─────────────────────┐
        │   postgres-rw       │  trust boundary 3
        │   (network policy)  │
        └─────────────────────┘

DFD elementler: External entity / Process / Data store / Data flow. Her data flow: protocol + auth + encryption.

4) STRIDE (her component / her data flow için)

Tehdit	Hedef	Soru	Karşı önlem
S poofing	Identity	"Kim olduğunu kanıtlıyor mu?"	mTLS, JWT signature, MFA, OIDC
T ampering	Data integrity	"Veri yolda/depoda değişti mi?"	TLS, HMAC, signing, immutable log
R epudiation	Accountability	"Kim ne yaptı kanıtlanır mı?"	audit log, append-only, signed entry
I nformation disclosure	Confidentiality	"Sızıyor mu?"	encryption (rest+transit), access control, PII redact
D enial of service	Availability	"Çökertilebilir mi?"	rate limit, autoscale, circuit breaker, queue depth
E levation of privilege	Authorization	"Yetki yükseltilebilir mi?"	RBAC, principle of least privilege, JIT access

Her STRIDE kategorisi için abuse case yaz:

**Threat**: Spoofing — attacker JWT token'ı kopyalayıp başka kullanıcı gibi
istek atabilir.
**Vector**: log'da plaintext JWT, session cookie HttpOnly değil.
**Impact**: Account takeover (Critical).
**Likelihood**: High (log'a okuma yetkisi 12 internal user'da var).
**Risk**: Critical.
**Mitigation**:
  1. JWT log'a yazılmıyor (PII redact middleware).
  2. Cookie HttpOnly + Secure + SameSite=Strict.
  3. Token refresh + short TTL (15 dk access, 7d refresh).
  4. Anomaly detection (yeni IP/device).
**Residual risk**: Low (mitigation sonrası).
**Owner**: @security-team.
**Issue**: #4321.

5) Risk skorlama

DREAD (basit) veya CVSS (standart):

DREAD (her boyut 1-10):

D amage potential
R eproducibility
E xploitability
A ffected users
D iscoverability
Risk = ortalama / 10.

CVSS 3.1 (sektör standardı): base score (impact × exploitability) + temporal + environmental.

0-3.9 Low / 4-6.9 Medium / 7-8.9 High / 9-10 Critical.

Plugin tercih: CVSS — daha yapılandırılmış.

6) Mitigation tracking

Risk	Mitigation	Sahip	Bitiş	Issue	Status
JWT spoofing	PII redact + cookie hardening + short TTL	@security	2026-05-21	#4321	open
Order DB DoS	rate limit + connection pool cap	@platform	2026-05-28	#4322	open
Admin endpoint EoP	mTLS + IP allowlist	@platform	2026-06-04	#4323	open

Risk kabul edilebilir (residual = mevcut, mitigation maliyetli) — yazılı kabul + sahibi.

7) LINDDUN (privacy, opsiyonel)

GDPR/CCPA hassasiyetinde:

L inkability — anonymized data linklenebilir mi?
I dentifiability
N on-repudiation (privacy bağlamında: kullanıcı denial hakkı)
D etectability
D isclosure of information
U nawareness — kullanıcı veri toplamayı biliyor mu?
N on-compliance

8) Yayın + review

Living document — docs/threat-model/<service>.md.
Review cadence: tasarım değiştiğinde + 6 ayda bir.
Action review: mitigation issue'ları haftalık.
Audit trail: kim ne zaman güncelledi.

Checklist

Antipattern

"Hacker yapamaz" — capability + motivation sayma; varsay yapabilir.
"Internal sadece" — internal threat var (insider, supply chain).
STRIDE atlama — her component'i 6 kategoride değerlendir.
Vague mitigation — "güvenlik artırılacak" ≠ kontrol mekanizması.
Risk skor yok — hangisi acil belirsiz.
Living doc değil — tek seferlik PDF, 6 ay sonra geçersiz.
Sahipsiz mitigation — kapanma yok.
Abuse case sadece "external" — insider, supply chain dahil.
DREAD subjective — CVSS 3.1 daha yapılandırılmış.
Compliance kutucuğu — gerçek tehdit haritası yerine checkbox.

Örnek Agent Davranışı

User: /threat-model api-svc
Agent (security-reviewer):
1. Scope: api-svc + bağımlılıkları (postgres, redis, payment-provider).
2. Asset: PII (email/address), Payment (PCI scope), JWT, admin endpoint.
3. DFD: 3 trust boundary (Internet → APIGW → api-svc → DB).
4. STRIDE per component (15 madde):
   - S: JWT spoofing (Critical)
   - T: webhook signature yok (High)
   - R: audit log immutable değil (Medium)
   - I: log'da plaintext email (Critical — PII)
   - D: rate limit yok admin endpoint (High)
   - E: SSO eksik admin (High)
   - ... 9 daha
5. Abuse case: 6 madde detay (vector + impact + likelihood + mitigation).
6. CVSS skor: 4 Critical (>9.0), 5 High, 4 Medium, 2 Low.
7. Mitigation: 11 issue açıldı, sahip + tarih.
8. Residual: 2 risk kabul edildi (cost-benefit) — yazılı imza.
9. Output: `docs/threat-model/api-svc.md` doldurulmuş template +
   issue link tablosu + DFD diagram.
10. Review cadence: 6 ay sonra (2026-11-10) + tasarım değiştiğinde.

Çıktı Formatı

# Threat Model: <service>

## Scope + Audience
## Asset Inventory
## DFD + Trust Boundary
## STRIDE Matrix
## Abuse Cases
## Risk Skor (CVSS)
## Mitigation Tablosu
## Residual Risk
## Kabul Edilen Risk (varsa)
## Review Cadence