📦

pytm

中リスク ⚙️ 外部コマンド🌐 ネットワークアクセス

pytm で脅威モデルを構築

セキュリティチームには、変化するアーキテクチャと整合し続ける再現可能な脅威モデルが必要です。このスキルは、Claude、Codex、Claude Code が pytm ベースの STRIDE 分析とレポート生成をガイドするのに役立ちます。

対応: Claude Codex Code(CC)
📊 73 十分
1

スキルの ZIP をダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロード に移動

3

オンにして使い始める

エージェントが読めるリソース

AI エージェント、クローラー、スクリプトがページ全体ではなく整理されたコンテキストを必要とする場合は、これらのリンクを使ってください。

テストする

「pytm」を使用しています。 ユーザーが 3 層 Web アプリケーションの脅威モデルを求めている。

期待される結果:

  • ユーザー、ロードバランサー、Web サーバー、アプリケーションサーバー、データベースを対象とするコンポーネント一覧。
  • インターネット、DMZ、内部ネットワークの信頼境界。
  • 認証、暗号化、SQL アクセス、ロギング、認可に関する STRIDE レビューのメモ。

「pytm」を使用しています。 チームがプルリクエストに脅威モデリングを追加したいと考えている。

期待される結果:

  • 必要な依存関係をインストールし、モデルを実行し、図をアップロードする CI 計画。
  • 受け入れ基準が不足している脅威をフラグ付けする緩和策ゲート。
  • ワークフローを有効化する前に、権限の高いインストールコマンドをレビューすることの推奨。

「pytm」を使用しています。 アーキテクトがクラウドストレージと API 向けのカスタム脅威を必要としている。

期待される結果:

  • 公開されたストレージと API レート制限悪用に関するカスタム脅威の説明。
  • コンポーネントプロパティに基づく推奨条件。
  • 暗号化、バケットポリシー、レート制限、キー ローテーションに関する緩和策ガイダンス。

セキュリティ監査

中リスク
v6 • 6/28/2026

Static analysis reported many command, network, credential, C2, and weak-crypto patterns, but review shows most are markdown examples, security taxonomy terms, or reference links. No prompt injection or malicious intent was found in SKILL.md. The remaining risk is legitimate guidance that includes package installation and sudo commands, so publication should include a command-execution warning.

1
スキャンされたファイル
575
解析済み行数
6
検出結果
6
総監査数
中リスクの問題 (1)
Privileged Package Installation Guidance
The skill includes package installation commands, including sudo apt-get for graphviz in CI and troubleshooting examples. This is legitimate setup guidance, but users should review privileged package manager commands before running them.
低リスクの問題 (3)
Markdown Code Fences Misclassified as Command Execution
Many static external-command findings are caused by fenced markdown examples and inline command text. They document pytm usage and do not execute automatically when the skill is loaded.
Reference URLs Misclassified as Network Behavior
The hardcoded URLs are reference links to pytm, OWASP, Microsoft STRIDE, MITRE ATT&CK, and NIST material. No evidence found that the skill sends data to these URLs.
Security Terms Misclassified as Sensitive or Malicious Content
Static hits for Windows SAM, C2, and weak cryptography are false positives from security framework names and example threat descriptions. OWASP SAMM and SOC2 are compliance references, not credential access or command-and-control behavior.

検出されたパターン

Copy-Paste Shell Commands in Documentation
監査者: codex 監査履歴を表示 →

品質スコア

55
アーキテクチャ
100
保守性
87
コンテンツ
72
コミュニティ
54
セキュリティ
87
仕様準拠

作成できるもの

Web アプリケーションをモデル化する

信頼境界と暗号化されたフローを含む、Web、アプリケーション、データベース層の pytm モデルを作成します。

マイクロサービスアーキテクチャをレビューする

API ゲートウェイ、サービス、データベース、境界をまたぐフローをマッピングし、STRIDE 脅威を早期に特定します。

脅威モデリングを CI に追加する

自動チェックを使用して図を再生成し、文書化された緩和策がない脅威を特定します。

これらのプロンプトを試す

基本的な脅威モデルを開始する
シンプルな Web アプリケーション用の pytm 脅威モデルを作成するのを手伝ってください。アクター、信頼境界、コンポーネント、主要なデータフローを含めてください。
STRIDE 脅威を分析する
STRIDE カバレッジの観点から私の pytm モデルをレビューしてください。不足しているプロパティ、弱い前提、緩和策が必要な脅威を特定してください。
CI ワークフローを準備する
私の pytm 脅威モデルを実行し、図を保存し、文書化された緩和策がない脅威をフラグ付けする CI ワークフローを設計してください。
カスタム脅威ロジックを作成する
私のクラウドアーキテクチャ向けにカスタム pytm 脅威を定義するのを手伝ってください。条件、緩和策、スコアリング、レビュー基準を含めてください。

ベストプラクティス

  • モデル内のシークレットや機密性の高いアーキテクチャ詳細にはプレースホルダーを使用します。
  • 生成された STRIDE の検出事項は、システムを理解しているエンジニアとレビューします。
  • 生成された図やレポートはセキュリティアーキテクチャを明らかにするため、保護します。

回避

  • 権限の高いインストールコマンドをレビューなしで本番システムにコピーしないでください。
  • モデルプロパティを検証せずに、生成された脅威を完全なものとして扱わないでください。
  • 内部境界や機密性の高いデータフローを公開する脅威レポートを公開しないでください。

よくある質問

このスキルは何を構築するのに役立ちますか?
STRIDE、信頼境界、データフロー、緩和策を使用して pytm 脅威モデルを作成およびレビューするのに役立ちます。
pytm を自動的に実行しますか?
いいえ。ガイダンスと例を提供します。依存関係をインストールするか、ローカルコマンドを実行するかはユーザーが決定します。
どのツールでこのスキルを使用できますか?
レポートには Claude、Codex、Claude Code のサポートが記載されています。
セキュリティリスクが中程度なのはなぜですか?
このスキルには shell と sudo のインストール例が含まれています。これらは正当なものですが、実行前にユーザーレビューが必要です。
セキュリティレビューの代替になりますか?
いいえ。構造化された分析をサポートしますが、資格のあるレビュー担当者が脅威、制御策、残余リスクを検証する必要があります。
参照されているヘルパースクリプトは含まれていますか?
ファイル構造内に証拠は見つかりませんでした。利用可能なファイルは SKILL.md であるため、スクリプト参照はガイダンスのみです。

開発者情報

ファイル構成

📄 SKILL.md