Microsoft 威脅模型化工具
威脅模型化工具是 Microsoft 安全性開發生命週期 (SDL) 的核心元素。 它可讓軟體架構設計人員及早識別和降低潛在安全性問題的風險,以在問題相對簡單且符合成本效益時加以解決。 因此,可大幅降低總開發成本。 此外,我們在設計此工具時已考慮到非安全性專家的問題,因此可讓所有開發人員更加方便地建立威脅模型,為他們提供清楚說明如何建立和分析威脅模型的指導方針。
此工具可讓任何人:
- 溝通有關其系統的安全性設計
- 使用經實證的方法分析這些設計中潛在的安全性問題
- 建議和管理安全性問題的風險降低措施
以下是一些工具功能和創新,僅舉幾個例子:
- 自動化︰繪製模型的指引和意見反應
- 每個元素的 STRIDE:引導式的威脅與降低風險分析
- 報告︰驗證階段的安全性活動和測試
- 獨特的方法︰可讓使用者更加看懂和了解威脅
- 專為開發人員所設計並聚焦於軟體上︰許多方法都聚焦在資產或攻擊者上。 我們則聚焦在軟體上。 我們以所有軟體開發人員和架構設計人員都熟悉的活動為基礎來建置 -- 例如繪製其軟體架構的圖片
- 聚焦在設計分析︰「威脅模型化」一詞指的可能是需求或設計分析技巧。 有時候,它指的是兩者的複雜融合。 威脅模型化的 Microsoft SDL 方法是一種專注設計分析技術
下一步
下表包含重要的連結,可以協助您開始使用威脅模型化工具:另請參閱系統需求
| 步驟 | 描述: |
|---|---|
| 1 | 下載威脅模型化工具 |
| 2 | 參閱使用者入門指南 |
| 3 | 熟悉功能 |
| 4 | 深入了解產生的威脅類別 |
| 5 | 尋找對產生之威脅的風險降低 |
資源
以下是一些與現今威脅模型化仍然相關的較舊文章:
查看某些威脅模型化工具專家做了些什麼︰