pytm
pytm で脅威モデルを構築
セキュリティチームには、変化するアーキテクチャと整合し続ける再現可能な脅威モデルが必要です。このスキルは、Claude、Codex、Claude Code が pytm ベースの STRIDE 分析とレポート生成をガイドするのに役立ちます。
スキルの ZIP をダウンロード
Claudeでアップロード
設定 → 機能 → スキル → スキルをアップロード に移動
オンにして使い始める
エージェントが読めるリソース
AI エージェント、クローラー、スクリプトがページ全体ではなく整理されたコンテキストを必要とする場合は、これらのリンクを使ってください。
テストする
「pytm」を使用しています。 ユーザーが 3 層 Web アプリケーションの脅威モデルを求めている。
期待される結果:
- ユーザー、ロードバランサー、Web サーバー、アプリケーションサーバー、データベースを対象とするコンポーネント一覧。
- インターネット、DMZ、内部ネットワークの信頼境界。
- 認証、暗号化、SQL アクセス、ロギング、認可に関する STRIDE レビューのメモ。
「pytm」を使用しています。 チームがプルリクエストに脅威モデリングを追加したいと考えている。
期待される結果:
- 必要な依存関係をインストールし、モデルを実行し、図をアップロードする CI 計画。
- 受け入れ基準が不足している脅威をフラグ付けする緩和策ゲート。
- ワークフローを有効化する前に、権限の高いインストールコマンドをレビューすることの推奨。
「pytm」を使用しています。 アーキテクトがクラウドストレージと API 向けのカスタム脅威を必要としている。
期待される結果:
- 公開されたストレージと API レート制限悪用に関するカスタム脅威の説明。
- コンポーネントプロパティに基づく推奨条件。
- 暗号化、バケットポリシー、レート制限、キー ローテーションに関する緩和策ガイダンス。
セキュリティ監査
中リスクStatic analysis reported many command, network, credential, C2, and weak-crypto patterns, but review shows most are markdown examples, security taxonomy terms, or reference links. No prompt injection or malicious intent was found in SKILL.md. The remaining risk is legitimate guidance that includes package installation and sudo commands, so publication should include a command-execution warning.
中リスクの問題 (1)
低リスクの問題 (3)
リスク要因
🌐 ネットワークアクセス (2)
検出されたパターン
品質スコア
作成できるもの
Web アプリケーションをモデル化する
信頼境界と暗号化されたフローを含む、Web、アプリケーション、データベース層の pytm モデルを作成します。
マイクロサービスアーキテクチャをレビューする
API ゲートウェイ、サービス、データベース、境界をまたぐフローをマッピングし、STRIDE 脅威を早期に特定します。
脅威モデリングを CI に追加する
自動チェックを使用して図を再生成し、文書化された緩和策がない脅威を特定します。
これらのプロンプトを試す
シンプルな Web アプリケーション用の pytm 脅威モデルを作成するのを手伝ってください。アクター、信頼境界、コンポーネント、主要なデータフローを含めてください。
STRIDE カバレッジの観点から私の pytm モデルをレビューしてください。不足しているプロパティ、弱い前提、緩和策が必要な脅威を特定してください。
私の pytm 脅威モデルを実行し、図を保存し、文書化された緩和策がない脅威をフラグ付けする CI ワークフローを設計してください。
私のクラウドアーキテクチャ向けにカスタム pytm 脅威を定義するのを手伝ってください。条件、緩和策、スコアリング、レビュー基準を含めてください。
ベストプラクティス
- モデル内のシークレットや機密性の高いアーキテクチャ詳細にはプレースホルダーを使用します。
- 生成された STRIDE の検出事項は、システムを理解しているエンジニアとレビューします。
- 生成された図やレポートはセキュリティアーキテクチャを明らかにするため、保護します。
回避
- 権限の高いインストールコマンドをレビューなしで本番システムにコピーしないでください。
- モデルプロパティを検証せずに、生成された脅威を完全なものとして扱わないでください。
- 内部境界や機密性の高いデータフローを公開する脅威レポートを公開しないでください。