--- title: Security Requirement Extraction category: product entity_type: skill price: ₺369 canonical: https://forgehouse.ai/tr/skiller/security-requirement-extraction/ lang: tr hreflang_alt: https://forgehouse.ai/skills/security-requirement-extraction/ last_updated: 2026-06-20 --- # Security Requirement Extraction > Derive security requirements from threat models and business context. Tehdit modellerini ve iş bağlamını somut, test edilebilir güvenlik gereksinimlerine dönüştürür, böylece güvenlik belirsiz bir sonradan akla gelen iş olmaktan çıkıp her özelliğin kabul kriterinin parçası olur. Her STRIDE tehdit kategorisini güvenlik alanlarına ve gereksinim desenlerine eşler, kullanıcı hikayelerini, kabul kriterlerini ve test senaryolarını otomatik üretir, her şeyi PCI DSS, HIPAA, GDPR ve OWASP ASVS gibi uyumluluk çerçevelerine bağlar. 'Müşteri verisini koru' hedefinden 'PII'yi beklemede AES-256 ile şifrele, anahtarı 90 günde döndür' gibi izlenebilir gereksinimlere geçersiniz. ## Ne için kullanılır - STRIDE tehdit modelini önceliklendirilmiş güvenlik gereksinimlerine dönüştürme - İş listesi için güvenlik kullanıcı hikayeleri ve kabul kriterleri üretme - Belirli tehditlere bağlı güvenlik test senaryoları oluşturma - Gereksinimleri PCI DSS, HIPAA, GDPR ve OWASP kontrollerine eşleme - Eksik veya zayıf kapsanan kontrolleri bulmak için uyumluluk boşluk analizi yürütme - Denetçiler için tehdit-gereksinim izlenebilirlik matrisi üretme ## Faydalar - Güvenliği belirsiz bir hedef yerine ölçülebilir bir kabul kriteri yapın - Gereksinimleri etki ve olasılığa göre önceliklendirin, kritik riskler önce gelsin - Tehditlere ve çerçevelere kadar izlenebilirlikle uyumluluk kapsamını kanıtlayın - Bir denetçi veya saldırgan bulmadan önce kapsam boşluklarını yakalayın ## Ne içerir - Altı tehdit kategorisini kapsayan STRIDE-alan eşlemesi - Öncelik ve izlenebilirlikle SecurityRequirement ve RequirementSet modelleri - Otomatik kullanıcı hikayesi, kabul kriteri ve test senaryosu üretimi - PCI DSS, HIPAA, GDPR ve OWASP ASVS kontrolleri için uyumluluk eşleyicisi - Eksik kontrolleri ve zayıf tek-gereksinim kapsamını işaretleyen boşluk analizi - Gereksinimleri güvenlik alanı bazında paketleyen epik üreteci ## Kimler için Tehditleri doğrudan sprint iş listesine giren, test edilebilir ve uyumluluğa eşlenmiş gereksinimlere çevirmesi gereken güvenlik mimarları ve mühendislik liderleri için. ## Nasıl çalışır Ham tehdit modelinden sprint'e hazır güvenlik backlog'una skill'in koştuğu dönüşüm döngüsü, kara kutu yok, yaptığı iş tam olarak bu: 1. Tehdit modelini yapılandırılmış girdi olarak al: her tehdit STRIDE kategorisi, hedef bileşen, etki ve olasılık bilgisiyle gelir. 2. Her tehdidi STRIDE-gereksinim eşlemesinden geçir: Spoofing kimlik doğrulama ve oturum gereksinimleri üretir, Tampering girdi doğrulama ve bütünlük üretir, Repudiation audit loglama üretir, kategori başına üç gereksinim şablonu. 3. Önceliği mekanik skorla: etki çarpı olasılık (12 üzeri kritik, 6 üzeri yüksek), backlog sırası his değil ölçülmüş riski yansıtır. 4. Her gereksinime test edilebilir kabul kriteri ve somut test senaryoları bağla; 'güvenli olsun' gibi belirsiz ifadeler reddedilir, yalnızca doğrulanabilir kontroller yaşar. 5. Gereksinimleri kullanıcı hikayesine ve alan bazlı epic'lere çevir, doğrudan sprint planına girer; güvenlik ayrı bir görev değil her feature'ın bitti tanımının parçası olur. 6. Her gereksinimi uyum çerçevelerine eşle (PCI DSS, HIPAA, GDPR, OWASP ASVS), eksik veya tek kontrollü kapsama için gap analizi koş ve kanıt olarak tehdit-gereksinim izlenebilirlik matrisini canlı tut. ## Sık sorulanlar ### Henüz resmi bir tehdit modelimiz yok; yine de kullanabilir miyiz? En iyi STRIDE tehdit modelinden çalışır, çünkü çekirdek eşleme tehdit kategorisinden güvenlik alanına ve gereksinim desenine gider. Model yoksa iş bağlamından başlayabilirsiniz; ama bu adımı atlamak yerine önce STRIDE geçişini üretirsiniz. ### 'Müşteri verisini koru' gibi bir hedef nasıl test edilebilir hale geliyor? Her STRIDE kategorisi, kullanıcı hikayesini, kabul kriterini ve test senaryosunu otomatik üreten gereksinim desenlerine eşlenir; örneğin PII'yi beklemede AES-256 ile şifrele ve anahtarı 90 günde döndür. Her şey izlenebilirlik matrisiyle PCI DSS, HIPAA, GDPR veya OWASP ASVS kontrollerine bağlanır. ### Bu gereksinimleri kod tabanımda test eder veya zorlar mı? Hayır. Önceliklendirilmiş gereksinimler, iş listesine hazır hikayeler, test senaryoları ve denetçiler için uyumluluk boşluk analizi üretir. Kontrolleri uygulamak ve testleri koşturmak mühendislik ve güvenlik araçlarınızın işidir. ## Fiyat ₺369, tek seferlik, abonelik yok. KDV dahil. İlgili rehber: [Yapay zekâ ile uygulama güvenliği](https://forgehouse.ai/tr/rehberler/yapay-zeka-uygulama-guvenligi/)