威胁建模的一些方法论
in 安全思考 with 0 comment

威胁建模的一些方法论

in 安全思考 with 0 comment

关于威胁建模

威胁建模作为在SDL中十分重要的一部分,国内很少有看到关于威胁建模相关的分享
一方面可能是一个威胁建模的示例会暴露太多的业务
另一个方面是这个东西给人的第一感觉太虚,很少有比较好的落地方案
所以甲方大厂很少有相关分享,乙方厂商也很少有好的落地方案或者产品
Adam Shostack写的这本《威胁建模》里面有一些方法论的东西,整理了方法论部分的读书笔记

吐槽一下:这个书的翻译,,太不像技术人员翻译的了,看的太痛苦

方法论导图

威胁建模方法论.png

一些想法

整体来说,书里讲的也是比较虚,特别是针对威胁的发现,利用STRIDE分析这块
也可能是自己经验不够,还不能熟练运用这种比较抽象的方法论
不过最起码有一些能够给我们参考的东西,具体的方法还是仁者见仁,智者见智
还是需要在实践中逐渐具象化
PDF戳这里

Comments are closed.