Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Threat Modeling Tool, Microsoft Güvenlik Geliştirme Yaşam Döngüsü'nü (SDL) temel bir öğesidir. Yazılım mimarlarının olası güvenlik sorunlarını, görece kolay ve uygun maliyetli olduğunda erken belirlemesine ve azaltmasına olanak tanır. Sonuç olarak, toplam geliştirme maliyetini büyük ölçüde azaltır. Ayrıca aracı güvenlikle ilgili olmayan uzmanları göz önünde bulundurarak tasarladık ve tehdit modellerini oluşturma ve analiz etme konusunda net rehberlik sağlayarak tehdit modellemeyi tüm geliştiriciler için kolaylaştırdık.
Bugün başlamak için Threat Modeling Tool ziyaret edin!
Risk azaltma kategorileri
Threat Modeling Tool azaltmaları, aşağıdakilerden oluşan Web Uygulaması Güvenlik Çerçevesine göre kategorilere ayrılmıştır:
| Kategori | Açıklama |
|---|---|
| Denetim ve Günlüğe Kaydetme | Kim ne ve ne zaman yaptı? Denetim ve günlüğe kaydetme, uygulamanızın güvenlikle ilgili olayları nasıl kaydettiğine bakın |
| Kimlik Doğrulaması | Kimsiniz? Kimlik doğrulaması, bir varlığın genellikle kullanıcı adı ve parola gibi kimlik bilgileri aracılığıyla başka bir varlığın kimliğini kanıtlama işlemidir |
| Yetkilendirme | Ne yapabilirsin ki? Yetkilendirme, uygulamanızın kaynaklar ve işlemler için erişim denetimleri sağlama şeklidir |
| İletişim Güvenliği | Kiminle konuşuyorsun? İletişim Güvenliği, yapılan tüm iletişimin mümkün olduğunca güvenli olmasını sağlar |
| Yapılandırma Yönetimi | Uygulamanız kim olarak çalışır? Hangi veritabanlarına bağlanır? Uygulamanız nasıl yönetilir? Bu ayarların güvenliği nasıl sağlanır? Yapılandırma yönetimi, uygulamanızın bu işlem sorunlarını nasıl işlediğini ifade eder |
| Şifreleme | Gizli dizileri (gizlilik) nasıl saklıyorsunuz? Verilerinizi veya kitaplıklarınızı (bütünlük) nasıl kurcalayabilirsiniz? Şifreleme açısından güçlü olması gereken rastgele değerler için nasıl tohum sağlıyorsunuz? Şifreleme, uygulamanızın gizlilik ve bütünlüğü nasıl zorunlu kılıp uygulamayışta olduğunu ifade eder |
| Özel Durum Yönetimi | Uygulamanızda bir yöntem çağrısı başarısız olduğunda uygulamanız ne yapar? Ne kadarını açığa çıkaracaksınız? Son kullanıcılara kolay hata bilgileri döndürecek misiniz? Değerli özel durum bilgilerini arayana geri mi geçiriyorsunuz? Uygulamanız düzgün bir şekilde başarısız oluyor mu? |
| Giriş Doğrulama | Uygulamanızın aldığı girişin geçerli ve güvenli olduğunu nasıl anlarsınız? Giriş doğrulaması, uygulamanızın ek işlemden önce girişi nasıl filtrelediğinde, temizlediğinde veya reddettiği anlamına gelir. Giriş noktaları aracılığıyla girişi kısıtlamayı ve çıkış noktaları aracılığıyla çıkışı kodlamayı göz önünde bulundurun. Veritabanları ve dosya paylaşımları gibi kaynaklardan gelen verilere güveniyor musunuz? |
| Hassas Veriler | Uygulamanız hassas verileri nasıl işler? Hassas veriler, uygulamanızın bellekte, ağ üzerinden veya kalıcı depolarda korunması gereken tüm verileri nasıl işlediğini ifade eder |
| Oturum Yönetimi | Uygulamanız kullanıcı oturumlarını nasıl işler ve korur? Oturum, bir kullanıcı ile Web uygulamanız arasındaki bir dizi ilgili etkileşime başvurur |
Bu, şunları belirlemenize yardımcı olur:
- Yapılan en yaygın hatalar nerededir?
- En eyleme dönüştürülebilir iyileştirmeler nerede?
Sonuç olarak, güvenlik çalışmanıza odaklanmak ve önceliklerini ayarlamak için bu kategorileri kullanırsınız; böylece giriş doğrulama, kimlik doğrulaması ve yetkilendirme kategorilerinde en yaygın güvenlik sorunlarının oluştuğundan eminseniz buradan başlayabilirsiniz. Daha fazla bilgi için bu patent bağlantısını ziyaret edin
Sonraki adımlar
Aracın olası tasarım tehditleri oluşturmak için kullandığı tehdit kategorileri hakkında daha fazla bilgi edinmek için Threat Modeling Tool Tehditler'i ziyaret edin.