أداة Threat Modeling Toolات من Microsoft للتخفيف من المخاطر
تعد أداة Threat Modeling Toolات عنصراً أساسياً في دورة تطوير الأمان من Microsoft (SDL). يسمح لمهندسي البرامج بتحديد وتخفيف مشكلات الأمان المحتملة في وقت مبكر، عندما يكون حلها سهلًا نسبيًا وفعال من ناحية التكلفة. نتيجة لذلك، فهي تقلل بشكل كبير من التكلفة الإجمالية للتطوير. كذلك، صممنا الأداة مع مراعاة الخبراء غير الأمنيين، ما يجعل نمذجة التهديدات أسهل لجميع المطورين من خلال توفير إرشادات واضحة بشأن إنشاء نماذج التهديد وتحليلها.
فئات التخفيف من المخاطر
يتم تصنيف عوامل التخفيف من المخاطر في أداة Threat Modeling Toolات وفقاً لإطار أمان تطبيق الويب، والذي يتكون مما يلي:
| الفئة | الوصف |
|---|---|
| التدقيق والتسجيل | من فعل ماذا ومتى؟ يشير التدقيق والتسجيل إلى كيفية تسجيل التطبيق لديك للأحداث المتعلقة بالأمان |
| المصادقة | من أنت؟ المصادقة هي العملية التي يثبت فيها كيان الهوية لكيان آخر، عادة من خلال معلومات تسجيل الدخول، مثل اسم مستخدم وكلمة مرور |
| التخويل | ماذا يمكنك أن تفعل؟ التخويل هو الطريقة التي يوفر بها تطبيقك عناصر التحكم في الوصول للموارد والعمليات |
| أمان الاتصالات | إلى من تتحدث؟ أمان الاتصالات يضمن أن جميع الاتصالات التي يتم إجراؤها آمنة قدر الإمكان |
| إدارة التكوين | من الذي يعمل تطبيقك مثله؟ ما قاعدة البيانات التي يتصل بها؟ كيف تتم إدارة تطبيقك؟ كيف يتم تأمين هذه الإعدادات؟ تشير إدارة التكوين إلى كيفية معالجة تطبيقك لهذه المشكلات التشغيلية |
| التشفير | كيف تحتفظ بالبيانات السرية (سرية)؟ كيف تقوم بإثبات العبث بالبيانات أو المكتبات (التكامل)؟ كيف توفر الدعم للقيم العشوائية التي يجب أن تكون قوية من ناحية التشفير؟ يشير التشفير إلى كيفية فرض تطبيقك للسرية والتكامل |
| إدارة الاستثناء | عندما يفشل استدعاء أسلوب في التطبيق الخاص بك، ماذا يفعل تطبيقك؟ ما مقدار ما تكشفه؟ هل تقوم بإعادة معلومات الخطأ المألوفة إلى المستخدمين النهائيين؟ هل تقوم بتمرير معلومات الاستثناء القيمة مرة أخرى إلى المتصل؟ هل يفشل تطبيقك بأمان؟ |
| التحقق من صحة الإدخال | كيف تعرف أن الإدخال الذي يتلقاه التطبيق الخاص بك صالح وآمن؟ يشير التحقق من صحة الإدخال إلى كيفية قيام تطبيقك بتصفية الإدخال أو تنقيحه أو رفضه قبل المعالجة الإضافية. ضع في اعتبارك تقييد الإدخال من خلال نقاط الإدخال وترميز المخرجات من خلال نقاط الخروج. هل تثق بالبيانات من مصادر مثل قواعد البيانات ومشاركات الملفات؟ |
| البيانات الحساسة | كيف يتعامل تطبيقك مع البيانات الحساسة؟ تشير البيانات الحساسة إلى كيفية تعامل تطبيقك مع أي بيانات يجب حمايتها إما في الذاكرة أو عبر الشبكة أو في المتاجر الدائمة |
| إدارة الجلسة | كيف يتعامل تطبيقك مع جلسات عمل المستخدم ويحميها؟ تشير جلسة العمل إلى سلسلة من التفاعلات ذات الصلة بين مستخدم وتطبيق الويب الخاص بك |
يساعدك هذا في تحديد:
- أين تقع الأخطاء الأكثر شيوعاً
- أين هي التحسينات الأكثر قابلية للتنفيذ
نتيجة لذلك، يمكنك استخدام هذه الفئات للتركيز على العمل الأمني الخاص بك وتحديد أولوياته، بحيث إذا كنت تعرف أن أكثر مشكلات الأمان انتشاراً تحدث في فئات التحقق من صحة الإدخال والمصادقة والتخويل، يمكنك البدء من هناك. لمزيد من المعلومات، تفضل بزيارة رابط براءة الاختراع هذا
الخطوات التالية
تفضل بزيارة تهديدات أداة لمعرفة المزيد بشأن فئات التهديد التي تستخدمها الأداة لإنشاء تهديدات محتملة تتعلق بالتصميم.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ