Search Our Site

注册

威胁建模的价值

威胁建模过程是让软件开发参与者知晓各种类型的安全缺陷并负责避免这些漏洞,能够更有自信,更高效开发出安全软件。

威胁建模要达到的目的包括:

提供服务

威胁分析与培训

我们的安全威胁分析主要采用STRIDE模型,针对业务系统数据流图中的关键要素,特别是与信任边界有直接关联的要素,采用统一的方法进行威胁分析。我们会利用业界已有的和我们在过往项目实施过程中积累形成的威胁库,并结合客户具体业务的特殊性。另外,在选择削减措施和提供具体技术方案的过程中,我们会考虑威胁的具体情况(比如威胁可能带来的影响、威胁发生的可能性等),同时也会考虑具体方案的实施成本。

 

威胁建模工具的使用培训

对客户提供主流威胁建模工具的使用过程提供培训,让开发人员能够有能力正确地绘制数据流图,并导出威胁。