pytm
إنشاء نماذج التهديدات باستخدام Python وتحليل STRIDE
نمذجة التهديدات أمر بالغ الأهمية لتصميم الأنظمة الآمنة ولكنها غالباً ما يتم تخطيها بسبب تعقيدها. توفر هذه المهارة نمذجة تهديدات برمجية باستخدام Python ومكتبة pytm. حدد البنية التحتية كوداً، وأنشئ مخططات تدفق البيانات تلقائياً، وحدد تهديدات الأمان عبر حدود الثقة.
تنزيل ZIP المهارة
رفع في Claude
اذهب إلى Settings → Capabilities → Skills → Upload skill
فعّل وابدأ الاستخدام
اختبرها
استخدام "pytm". إنشاء نموذج تهديد pytm لتطبيق ويب من ثلاث طبقات مع المستخدم، وموازن الحمل، وخادم الويب، وخادم التطبيق، وقاعدة البيانات
النتيجة المتوقعة:
- تم تحديد حدود الثقة: الإنترنت، DMZ، الشبكة الداخلية
- المكونات: Actor(المستخدم)، Server(موازن الحمل)، Server(خادم الويب)، Server(خادم التطبيق)، Datastore(قاعدة البيانات)
- تهديدات STRIDE المحددة:
- - انتحال الهوية في: مصادقة المستخدم
- - تلاعب: تدفق HTTP غير المشفر من الويب إلى التطبيق
- - الإفصاح عن المعلومات: قاعدة بيانات بدون تشفير في حالة السكون
- - رفض الخدمة: موازن الحمل بدون تحديد معدل
- عمليات نقل تدفق البيانات: 4 عمليات نقل عبر حدود الثقة تتطلب مراجعة
استخدام "pytm". إنشاء تقرير تهديدات لبنية الخدمات المصغرة مع بوابة API، وخدمة المصادقة، وقاعدة البيانات
النتيجة المتوقعة:
- نظرة عامة على البنية: خدمات سحابية مصغرة مع 3 وظائف Lambda، ومخزني بيانات
- حد الثقة: VPC مزود السحابة
- نتائج تحليل STRIDE:
- - رفع الامتيازات: بوابة API بدون تحديد معدل
- - الإفصاح عن المعلومات: ذاكرة التخزين المؤقت بدون تشفير أثناء النقل
- - تلاعب: التحقق من صحة إدخال وظيفة المصادقة مفقود
- المعالجات الموصى بها: تنفيذ قواعد WAF، تمكين TLS لذاكرة التخزين المؤقت، إضافة التطهير المدخلات
التدقيق الأمني
آمنPure documentation skill containing only YAML frontmatter and markdown documentation teaching threat modeling concepts with the pytm library. No executable code, scripts, network calls, filesystem access, environment variable reads, or command execution capabilities are present. All static findings are false positives triggered by documentation patterns, not actual security risks.
عوامل الخطر
🌐 الوصول إلى الشبكة (11)
⚙️ الأوامر الخارجية (55)
درجة الجودة
ماذا يمكنك بناءه
مراجعة أمان البنية التحتية
حدد البنية التحتية للنظام ككود وحدد تهديدات الأمان تلقائياً عبر حدود الثقة قبل التنفيذ
تكامل أمان CI/CD
أتمتة نمذجة التهديدات في طلبات السحب لاكتشاف مشكلات الأمان مبكراً في دورة حياة التطوير
تعداد تهديدات STRIDE
أنشئ تقارير تهديدات شاملة مع تهديدات STRIDE المصنفة واستراتيجيات معالجة قابلة للتنفيذ
جرّب هذه الموجهات
إنشاء نموذج تهديد Python باستخدام pytm لتطبيق ويب مع مصادقة المستخدم، وواجهة REST API خلفية، وقاعدة بيانات PostgreSQL. حدد حدود الثقة للإنترنت، وDMZ، والشبكة الداخلية. أظهر كيفية إنشاء تقرير التهديدات.
نمذجة بنية الخدمات المصغرة باستخدام pytm مع وظائف Lambda لبوابة API، وخدمة المصادقة، وخدمة الطلبات. قم بتضمين Redis cache وDynamoDB. أنشئ مخطط تدفق البيانات يُظهر الاتصال المشفر بين الخدمات.
أظهر كيفية إضافة تعريفات تهديدات مخصصة إلى نموذج تهديد pytm. أنشئ تهديداً مخصصاً لتجاوز تحديد معدل API مع شروط محددة وتوجيهات معالجة. قم بتضمينه في مخرجات تقرير التهديدات.
إنشاء سير عمل GitHub Actions يُشغل نمذجة تهديدات pytm في كل طلب سحب. قم بتضمين خطوات لتثبيت التبعيات، وإنشاء نموذج التهديدات، وتحميل DFD كتحفة. تحقق من التهديدات غير المعالجة وأخفق البناء إذا كانت التهديدات عالية الخطورة تفتقر إلى المعالجات.
أفضل الممارسات
- احتفظ بنماذج التهديدات في التحكم بالإصدارات مع كود التطبيق لتتبع تغييرات البنية
- حدد سمات أمان المكونات بدقة (isEncrypted, implementsAuthentication) لتقليل النتائج الإيجابية الخاطئة
- دمج التحقق من نموذج التهديدات في خطوط أنابيب CI/CD لاكتشاف مشكلات الأمان مبكراً
تجنب
- ترميز الثغرات أو الأسرار بشكل ثابت في ملفات Python لنموذج التهديدات
- تجاوز تعريفات حدود الثقة ونمذجة كل شيء كمنطقة واحدة
- تجاهل التهديدات المحددة دون توثيق سبب عدم تطبيقها