开发者社区> 华章计算机> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

《威胁建模:设计和交付更安全的软件》——第一部分 入 门 指 南

简介:
+关注继续查看

本节书摘来自华章计算机《威胁建模:设计和交付更安全的软件》一书中的第一部分,作者:[美] 亚当·斯塔克 更多章节内容可以访问云栖社区“华章计算机”公众号查看。

第一部分 Part 1 入 门 指 南

  • 第1章 潜心开始威胁建模
  • 第2章 威胁建模策略

本部分内容主要帮助入门读者了解威胁建模,读者无须具备威胁建模或安全方面知识即可无障碍地阅读。本部分内容着重讲述威胁建模所需的关键技能,为威胁建模入门者提供方法论。
第一部分利用玩具类比的方法介绍威胁建模方法。就像供孩子玩耍的模型有很多一样,威胁建模也有很多种方法。要组装飞机或者轮船,需要精确的模型零部件,这些部件精确度高,同时灵活性差,当然也有很多构建模块系统,比如Lincoln Logs、Erector Sets和Lego Blocks,这些组件的灵活性比较高,不过代价就是可能没有你组装飞机时所需的精确的螺旋桨模型。
威胁模型中,集中在攻击者、资产或软件的技术有很多,与Lincoln Logs、Erector Sets和Lego Blocks相似,每个都强大且灵活,也有优点和缺点,要将它们组装成好看的东西会比较棘手。
第一部分包括以下章节。
第1章提供入门读者所需的一切,重点讨论4个问题:

  • 你在构建什么?
  • 哪里可能出错?
  • 出错的部分该怎么办?
  • 你做了充分的分析吗?

这些并非只适用于如何开始威胁建模,它们是四步框架的核心,也是本书的核心。
第2章提供了威胁建模的诸多方法。其中很多是“显而易见”的方法,比如思考攻击者或者你想保护的资产。这些都将一一分析,并且找到它们或许不能如你所希望的那样好用的原因。这些也将与其他一些方法做对比,着重在软件方面。你最值得期待的便是软件专业人士对软件的了解,这也很合理,所以第2章最重要的部分就是软件模型。威胁建模时,软件模型是两个应该关注的模型之一。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
【微机原理资料分享】基于8086家具门安全控制系统设计(仿真、程序、报告)
安全人员使用主密码更新当天的密码。按M按钮激活此模式。系统闪烁输入密码LED,要求人员输入密码。主密码是16位数的值。只给管理员一次输入密码的机会。如果经过验证,重试/更新LED发光。如果身份验证失败,则发出警报。当重试/更新LED发光时,用户必须输入当天的密码。这是12位数的值。一旦这个值已被系统接受,密码更新的LED发光。 ●用户进入房间时必须按O键,输入密码LED提示用户输入密码。用户也可以使用C/AC选项。如果第一次尝试失败,RETRY LED发光。允许用户重新输入密码,在身份验证门打开一段时间后1分钟。失败时发出警报。 ●要关闭警报,必须按下A按钮。输入密码LED发光提示用户输入
0 0
观《独立日:卷土重来》思考目标管理
《独立日2》是个很好的目标管理教材。 一、目标聚人 只有有效的目标才能将一个组织中绝大部分人的力量聚集起来。地球面临存亡,触及各国的根本利益,很容易团结起来,一起奋斗。
248 0
穿越云安全的迷雾 权衡好处与风险
本文讲的是穿越云安全的迷雾 权衡好处与风险,随着云计算的安全缝隙变得更加显而易见,用户开始寻找保护数据安全的途径。纽约投资银行金融服务机构Cowen公司CIO Daniel Flax依靠云计算实现公司销售活动自动化。
842 0
文章
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
千里之外,洞悉风险
立即下载
思科软件定义访问:实现基于业务意图的园区网络
立即下载
甲方视角的情报体系——从人的角度量化安全威胁
立即下载