pytm 使用教程

最新推荐文章于 2025-04-01 10:35:32 发布
最新推荐文章于 2025-04-01 10:35:32 发布
阅读量462 收藏 5
点赞数 18
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00755/article/details/146902583
版权

pytm 使用教程

pytm A Pythonic framework for threat modeling pytm 项目地址: https://gitcode.com/gh_mirrors/py/pytm

1. 项目介绍

pytm 是一个基于 Python 的威胁模型框架,旨在将威胁模型的过程自动化并左移,使其更贴近开发流程。通过输入和定义架构设计,pytm 可以自动生成数据流程图(DFD)、序列图以及与系统相关的威胁列表。

2. 项目快速启动

在开始之前,请确保您的系统满足以下要求:

  • 操作系统:Linux/MacOS
  • Python 版本:Python 3.x
  • 安装 Graphviz 包
  • 安装 Java(OpenJDK 10 或 11)
  • 安装 plantuml.jar

以下是快速启动 pytm 的步骤:

首先,创建一个名为 tm 的目录,并运行 tm.py 脚本生成报告和图示文件:

mkdir -p tm
./tm.py --report docs/basic_template.md | pandoc -f markdown -t html > tm/report.html
./tm.py --dfd | dot -Tpng -o tm/dfd.png
./tm.py --seq | java -Djava.awt.headless=true -jar $PLANTUML_PATH -tpng -pipe > tm/seq.png

如果您有 GNU make 安装,可以使用 Makefile 简化上述步骤。只需运行以下命令:

make MODEL=the_name_of_your_model_minus_.py

确保 plantuml.jar 与您的模型在同一个目录下,或者设置了 PLANTUML_PATH

为了避免安装所有依赖,如 pandocJava,可以在容器内运行脚本:

# 仅需执行一次
export USE_DOCKER=true
make image
# 模型更改后调用
make

3. 应用案例和最佳实践

以下是一个简单的应用案例:

创建一个名为 tm.py 的文件,描述一个简单的应用程序,用户登录并发布评论,应用服务器将评论存储到数据库中。有一个 AWS Lambda 定期清理数据库。

from pytm.pytm import TM, Server, Datastore, Dataflow, Boundary, Actor, Lambda, Data, Classification

tm = TM("my test tm")
tm.description = "another test tm"
tm.isOrdered = True

User_Web = Boundary("User/Web")
Web_DB = Boundary("Web/DB")

user = Actor("User")
user.inBoundary = User_Web

web = Server("Web Server")
web.OS = "CloudOS"
web.isHardened = True
web.sourceCode = "server/web.cc"

db = Datastore("SQL Database (*)")
db.OS = "CentOS"
db.isHardened = False
db.inBoundary = Web_DB
db.isSql = True
db.inScope = False
db.sourceCode = "model/schema.sql"

comments = Data(
    name="Comments",
    description="Comments in HTML or Markdown",
    classification=Classification.PUBLIC,
    isPII=False,
    isCredentials=False,
    isStored=True,
    isSourceEncryptedAtRest=False,
    isDestEncryptedAtRest=True
)

results = Data(
    name="results",
    description="Results of insert op",
    classification=Classification.SENSITIVE,
    isPII=False,
    isCredentials=False,
    isStored=True,
    isSourceEncryptedAtRest=False,
    isDestEncryptedAtRest=True
)

my_lambda = Lambda("cleanDBevery6hours")
my_lambda.hasAccess = ...

在上述代码中,您需要根据实际情况填写 my_lambda.hasAccess 的具体内容。

4. 典型生态项目

目前 pytm 的生态项目还比较有限,但您可以参考以下项目:

  • pytm: 官方 Python 威胁模型框架
  • pytm-templates: 提供了多种威胁模型报告模板

随着 pytm 的发展,会有更多的生态项目出现,以丰富其功能和用途。

pytm A Pythonic framework for threat modeling pytm 项目地址: https://gitcode.com/gh_mirrors/py/pytm

威胁建模系统教程-简介和工具(一)
weixin_47208161的博客
03-18 3194
背景很多人对威胁建模这项活动抱有陌生感,什么是威胁?什么是建模?和安全威胁情报是不是有关?和架构安全分析(Architecture Risk Analysis)什么关系?...
python中的cli模块_详解python中的三种命令行模块(sys.argv,argparse,cli
weixin_29056865的博客
01-29 1866
Python作为一门脚本语言,经常作为脚本接受命令行传入参数,Python接受命令行参数大概有三种方式。因为在日常工作场景会经常使用到,这里对这几种方式进行总结。命令行参数模块这里命令行参数模块平时工作中用到最多就是这三种模块:sys.argv,argparse,click。sys.argv和argparse都是内置模块,click则是第三方模块。sys.argv模块(内置模块)先看一个简单的示例...
Pytm:威胁建模框架
weixin_43977912的博客
04-29 461
Pytm是一款Python风格的威胁建模框架,它可以帮助我们以Python语言风格的形式并使用pytm框架中的元素和属性来定义你的系统。根据我们的定义参数,pytm可以针对你的系统生成数据流图(DFD)、序列图以及威胁模型。 工具要求 Linux/MacOS Python 3.x Graphviz package Java (OpenJDK 10 or 11) plantuml.jar 工具下载 广大研究人员可以使用下列命令将该项目源码克隆至本地: git clone https://github.com/
Python威胁建模框架pytm使用教程
gitblog_00485的博客
04-01 318
Python威胁建模框架pytm使用教程 pytm A Pythonic framework for threat modeling 项目地址: https://gitcode.com/gh_mirrors/py/pytm ...
RapidOCRPDF 项目教程
gitblog_00093的博客
06-25 609
RapidOCRPDF 项目教程 RapidOCRPDF Based on RapidOCR, extract the PDF content. 项目地址: https://gitcode.com/gh_mirrors/ra/RapidOCRPDF ...
TM1py 项目教程
gitblog_00256的博客
09-01 409
TM1py 项目教程 tm1pyTM1py is a Python package that wraps the TM1 REST API in a simple to use library.项目地址:https://gitcode.com/gh_mirrors/tm/tm1py 1. 项目的目录结构及介绍 TM1py 项目的目录结构如下: tm1py/ ├── github/ │ └──...
Pytm:一款Python风格的威胁建模框架!
爬遍所有网站
03-28 515
Pytm是一款Python风格的威胁建模框架,它可以帮助我们以Python语言风格的形式并使用pytm框架中的元素和属性来定义你的系统。根据我们的定义参数,pytm可以针对你的系统生成数据流图(DFD)、序列图以及威胁模型。 工具要求 Linux/MacOS Python 3.x Graphviz package ...
python模型架构,Pytm:一款Python风格的威胁建模框架
weixin_33328213的博客
03-26 184
{"SID":"INP01","target": ["Lambda","Process"],"description": "Buffer Overflow via Environment Variables","details": "This attack pattern involves causing a buffer overflow through manipulation of envi...
python接口自动化登录_python接口自动化(二十)--token登录(详解)
weixin_39769807的博客
11-20 180
简介为了验证用户登录情况以及减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。有些登录不是用 cookie 来验证的,是用 token 参数来判断是否登录。token 传参有两种一种是放在请求头里,本质上是跟 cookie 是一样的,只是换个单词而已;另外一种是在 url 请求参数里,这种更直观。登录返回token1、如下图的这个登录接口,就是没有 cookies的登录接口。2、但是这个登...
Python库 | pytm-0.8.1-py3-none-any.whl
05-09
资源分类:Python库 所属语言:Python 资源全名:pytm-0.8.1-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
java源码嵌套for循环-pytm:用于威胁建模的Pythonic框架
06-05
pytm:用于威胁建模的 Pythonic 框架 介绍 传统的威胁建模往往迟到,有时甚至根本没有。 此外,创建手动数据流和报告可能非常耗时。 pytm 的目标是将威胁建模向左转移,使威胁建模更加自动化和以开发人员为中心。 ...
web2pyTM Examples.md
05-27
web2pyTM Examples
www-project-pytm:OWASP Foundation Web存储库
05-06
OWASP Foundation pytm主页 此仓库是OWASP pytm项目网页的源,网址为 对于这些页面的任何改进,请确保打开一个问题或请求请求,我们将确保照管它!... 对于与pytm本身相关的问题或建议,请使用核心存储库。
S7-1500存储卡的选择和使用方法
05-02
S7-1500存储卡的选择和使用方法及主要功能
DMA在实时图像处理中的应用.docx
05-02
DMA在实时图像处理中的应用.docx
python_code_and_sample_data_for_computing_accuracy_metrics.zip
05-02
计算融合图像(IDL 和 Python 代码)全方位性能评估(APA)指标及绘制 APA 图表的 R 代码
三菱fx3U插补画圆PLC程序
05-02
内容概要:本文详细介绍了使用三菱FX3U PLC实现圆弧插补的具体方法和技术要点。首先解释了FX3U系列PLC的强大插补功能及其应用场景,如CNC控制系统和机器人运动控制。接着展示了完整的插补画圆程序,包括中断扫描初始化、U型插补主程序、移动控制函数以及急停复位程序。文中强调了关键点如中断优先级设置、插补结果存储、角度参数配置和误差补偿的重要性。此外,还提供了关于数据类型定义、变量保护、参数匹配和异常处理的小贴士。最后分享了一些实战经验和调试技巧,如脉冲当量换算、方向控制、中断处理等。 适合人群:从事工业自动化、机电一体化等相关领域的工程师和技术人员。 使用场景及目标:适用于需要进行高精度圆弧轨迹控制的项目,帮助工程师理解和掌握FX3U PLC的插补功能,提高编程技能并优化实际控制效果。 其他说明:本文不仅提供了详细的程序代码,还附带了许多实用的经验和注意事项,有助于读者更好地理解和应用相关技术。
Asp.Net CRM系统:高效管理客户关系,实现商业价值的最佳选择和必备工具
05-02
内容概要:本文详细介绍了Asp.Net CRM客户关系管理系统的功能和技术实现。该系统不仅涵盖了客户信息管理、日程安排等功能,还展示了如何通过C#代码实现这些功能的具体细节。此外,文章强调了系统的二次开发能力和扩展性,如通过创建新的数据库表和编写相应代码来满足特定行业需求。系统采用三层架构,将客户生命周期、销售流程、团队协同等功能模块有机结合,形成一个完整的业务协同平台。文中还探讨了销售流程引擎、数据关联、实时消息推送等方面的技术实现,突出了系统的灵活性和高效性。 适合人群:对CRM系统开发感兴趣的软件工程师、企业IT管理人员、有一定编程基础的研发人员。 使用场景及目标:适用于希望提升客户管理水平、优化销售流程、增强内部协作的企业。通过实施该系统,企业可以更好地管理客户资源,提高工作效率,降低成本,最终提升销售业绩。 其他说明:文章提供了丰富的代码示例,帮助读者深入理解系统的工作原理和技术实现。同时,强调了系统在实际应用中的灵活性和扩展性,使其能够适应不同企业的具体需求。
西门子SMART LINE触摸屏485直接通讯ABB 510程序实例:简单好用的变频器控制方案
最新发布
05-02
内容概要:本文详细介绍了如何通过485通讯方式使西门子SMART LINE V3触摸屏与ABB 510变频器直接通信,无需PLC介入。主要内容涵盖接线方法、参数设置、程序实现及注意事项。文中提供了具体的接线步骤,包括触摸屏和变频器的485接口连接;参数设置部分涉及变频器和触摸屏的通讯协议、波特率、站地址等参数的一致性配置;程序实现则展示了如何通过简单的VBScript代码实现正反转控制、频率设定及运行数据监控。此外,还强调了通讯干扰防护、参数一致性及协议准确性等注意事项。 适合人群:从事工业自动化领域的工程师和技术人员,尤其是希望简化控制系统、降低成本的专业人士。 使用场景及目标:适用于小型设备或系统的改造项目,旨在通过直接通讯方式替代传统的PLC控制,降低硬件和编程成本,提高系统集成度和响应速度。 其他说明:文中提供的方案已在实际工业环境中验证可行,特别是在纺织机械上稳定运行超过8000小时。通过合理的接线和参数设置,可以有效避免常见的通讯问题,如数据丢失、地址冲突等。
pytm框架:自动化威胁建模的Python工具
通过上述知识点的详细说明,我们可以对pytm框架的功能、使用方法以及威胁建模的重要性有一个全面的了解。框架旨在提高威胁建模的自动化程度,使得安全措施能够更早地融入软件开发流程中,减少后期的安全缺陷修复成本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

宁烈廷

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值