博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
《威胁建模:设计和交付更安全的软件》——2.5 小结
阅读量:5881 次
发布时间:2019-06-19

本文共 536 字,大约阅读时间需要 1 分钟。

本节书摘来自华章计算机《威胁建模:设计和交付更安全的软件》一书中的第2章,第2.5节,作者:[美] 亚当·斯塔克 更多章节内容可以访问云栖社区“华章计算机”公众号查看。

2.5 小结

威胁建模的方法不止一种,可以采用资产建模、攻击者建模或软件建模。“你的威胁模型是什么”和集体研讨方法,适用于安全专家,但是对没什么经验的威胁建模者来说,结构化不足。集体研讨有一些更为系统化的方法,包括场景分析、事前剖析、电影情节回放、文献检索,可以增添一些框架结构,但还不是最好的。

如果是从资产开始威胁建模,相互重叠的术语定义,包括攻击者想要的、你想保护的和垫脚石等,可能会让你寸步难行。资产会在哪里出问题,在以资产为中心的方法中没有提供相应的解决路径。
攻击者建模也是很有吸引力的,但是试图预测一个人将怎样攻击是很困难的,此方法还会招致“没人会那么做”这样的争论。此外,以人为中心的建模方法会产生以人为主的威胁,这种威胁又很难解决。
软件建模的重点在于人们是如何正确理解软件。最好的威胁建模模型是图表,它可以帮助参与者理解软件和发现针对软件的威胁。用图表展现软件的方法有很多,数据流图是使用最广泛的。
一旦你有了软件的模型,就需要有一种找到软件面临威胁的方法,这是本书第二部分的主题。

转载地址:http://oyjix.baihongyu.com/

你可能感兴趣的文章
Python对进程Multiprocessing子进程返回值
查看>>
tomcat下java.io.NotSerializableException错误的解决方法
查看>>
Python入门之函数式开发
查看>>
IOS配置SSH一定需要先配置hostname和domain-name吗?
查看>>
java基础第十二天
查看>>
Django之MTV
查看>>
三级菜单
查看>>
DIY强大的虚拟化环境-升级存储主机
查看>>
Spring源码解析(三)——容器创建
查看>>
document.bgcolor设置文档的背景颜色
查看>>
星期天写了点蛋疼的东西(1)
查看>>
A10的上网链路负载实现
查看>>
文件I/O
查看>>
橙子引擎CEO尚韬: 蓝海破冰,重新定义TV游戏
查看>>
Spring中factory-method的使用
查看>>
zTree默认选中指定节点并执行事件
查看>>
编译安装syslog-ng debian
查看>>
通过爬妹子图片来学习async/await
查看>>
【python】编程语言入门经典100例--35
查看>>
cookie增加Secure属性
查看>>