《威胁建模:设计和交付更安全的软件》——第一部分 入 门 指 南-阿里云开发者社区

开发者社区> 华章计算机> 正文

《威胁建模:设计和交付更安全的软件》——第一部分 入 门 指 南

简介:
+关注继续查看

本节书摘来自华章计算机《威胁建模:设计和交付更安全的软件》一书中的第一部分,作者:[美] 亚当·斯塔克 更多章节内容可以访问云栖社区“华章计算机”公众号查看。

第一部分 Part 1 入 门 指 南

  • 第1章 潜心开始威胁建模
  • 第2章 威胁建模策略

本部分内容主要帮助入门读者了解威胁建模,读者无须具备威胁建模或安全方面知识即可无障碍地阅读。本部分内容着重讲述威胁建模所需的关键技能,为威胁建模入门者提供方法论。
第一部分利用玩具类比的方法介绍威胁建模方法。就像供孩子玩耍的模型有很多一样,威胁建模也有很多种方法。要组装飞机或者轮船,需要精确的模型零部件,这些部件精确度高,同时灵活性差,当然也有很多构建模块系统,比如Lincoln Logs、Erector Sets和Lego Blocks,这些组件的灵活性比较高,不过代价就是可能没有你组装飞机时所需的精确的螺旋桨模型。
威胁模型中,集中在攻击者、资产或软件的技术有很多,与Lincoln Logs、Erector Sets和Lego Blocks相似,每个都强大且灵活,也有优点和缺点,要将它们组装成好看的东西会比较棘手。
第一部分包括以下章节。
第1章提供入门读者所需的一切,重点讨论4个问题:

  • 你在构建什么?
  • 哪里可能出错?
  • 出错的部分该怎么办?
  • 你做了充分的分析吗?

这些并非只适用于如何开始威胁建模,它们是四步框架的核心,也是本书的核心。
第2章提供了威胁建模的诸多方法。其中很多是“显而易见”的方法,比如思考攻击者或者你想保护的资产。这些都将一一分析,并且找到它们或许不能如你所希望的那样好用的原因。这些也将与其他一些方法做对比,着重在软件方面。你最值得期待的便是软件专业人士对软件的了解,这也很合理,所以第2章最重要的部分就是软件模型。威胁建模时,软件模型是两个应该关注的模型之一。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
WPF界面设计技巧(1)—不规则窗体图文指南
原文:WPF界面设计技巧(1)—不规则窗体图文指南  初到园子,奉上第一篇入门级教程,请勿见笑。 以往WinForm编程中,实现不规则窗体是有一定难度的,更难的是不规则窗体的边缘抗锯齿及局部透明处理。
934 0
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
9998 0
[更新设计]跨平台物联网通讯框架ServerSuperIO 2.0 ,功能、BUG、细节说明,以及升级思考过程!
注:ServerSuperIO 2.0 还没有提交到开源社区,在内部测试!!! 1. ServerSuperIO(SSIO)说明      SSIO是基于早期工业现场300波特率通讯传输应用场景发展、演化而来。
532 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13793 0
没有功能需求设计文档?对不起,拒绝开发!
在很多软件公司,特别是一些创业型的团队中,对于这样的情景可能大家都很熟悉:项目经理或者产品经理(产品狗)口头或者简单记录一下软件产品的大致要做的功能,直接就让研发团队的兄弟(程序猿)去狂撸代码。然后他就去喝茶撩妹或者回家陪老婆了... 这种撸起袖子就开干的方式,看似简单高效,便于直接沟通,能够快速迭代。
811 0
10059
文章
0
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载