近日��,開放Web應(yīng)用程序安全項(xiàng)目(OWASP)發(fā)布了威脅建模工具——Threat Dragon的可安裝桌面版本�。Threat Dragon是一個(gè)跨平臺(tái)的開源工具,可以幫助企業(yè)簡(jiǎn)化風(fēng)險(xiǎn)評(píng)估流程����。
?
免費(fèi)和開源的Threat Dragon工具包括系統(tǒng)圖表和規(guī)則引擎,可自動(dòng)確定和排列安全威脅�����,建議緩解措施并實(shí)施對(duì)策����。
?
新推出的桌面版本基于Electron�����,提供Windows�、macOS桌面安裝程序以及Linux的RPM和Debian軟件包�,模型文件存儲(chǔ)在本地文件系統(tǒng)上。
?
Threat Dragon還有一個(gè)Web版本程序���,其模型文件存儲(chǔ)在GitHub中--未來還計(jì)劃支持其他存儲(chǔ)方式���。OWASP表示,它目前正在維護(hù)一個(gè)與主代碼分支同步的工作原型����。
?
“Threat Dragon的用戶不限于安全專業(yè)人員、威脅與威脅計(jì)劃的負(fù)責(zé)人�����,英國紐卡斯?fàn)柭?lián)合創(chuàng)始人���,OWASP章節(jié)的創(chuàng)始人邁克·古德溫(Mike Goodwin)強(qiáng)調(diào):
Threat Dragon的目標(biāo)洪湖還包括軟件開發(fā)團(tuán)隊(duì)�,包括開發(fā)人員����、測(cè)試人員�����、用戶體驗(yàn)專家和操作人員����。Threat Dragon的用戶體驗(yàn)強(qiáng)調(diào)簡(jiǎn)潔而不失吸引力�����。展望未來�����,我們的目標(biāo)是使其易于集成到正常的開發(fā)生命周期中����,盡管目前尚不十分完善���。
OWASP表示�,威脅建模被廣泛認(rèn)為是“在開發(fā)生命周期的早期將安全性融入應(yīng)用程序設(shè)計(jì)的強(qiáng)大方法”����,它構(gòu)成了組織的縱深防御策略的一部分�����。
?
Threat Dragon的項(xiàng)目維護(hù)人員目前正在收集臺(tái)式機(jī)版本的用戶反饋��,目前看來業(yè)界的反響比較正面�����,但也存在一些問題�。古德溫說:
對(duì)于Threat Dragon用戶體驗(yàn)的反應(yīng)大多是積極的����。顯然,這仍然是一個(gè)早期項(xiàng)目����,維護(hù)該項(xiàng)目的團(tuán)隊(duì)非常小,因此可以更靈活地解決錯(cuò)誤和功能請(qǐng)求�。
從目前用戶的反饋看,桌面版本還存在一些問題���,包括保存模型時(shí)黑屏的問題��。戈德溫說�,這是一個(gè)已知的錯(cuò)誤,應(yīng)盡快解決�����。他說:
對(duì)我來說���,主要的問題是桌面應(yīng)用程序上缺乏自動(dòng)更新����,以及在編輯圖表時(shí)缺乏'撤消'功能����。我還擔(dān)心該工具的Web版本會(huì)需要過多的GitHub權(quán)限。
此外���,古德溫還透露了未來把Threat Dragon與其他軟件生命周期工具和流程集成的計(jì)劃。
?
他說����,Web版本的第一步工作是將模型與源代碼一起存儲(chǔ),因?yàn)槟壳皟H支持GitHub。
?
這應(yīng)該是實(shí)踐最佳生命周期集成的平臺(tái)�。一個(gè)簡(jiǎn)單的例子就是,如果威脅模型不是最新的���,或者存在新的����,未緩解的威脅�����,那么CI/CD策略將面臨失敗��。
這樣做(與軟件生命周期工具和流程集成)的目的是防止威脅模型成為一次性創(chuàng)建然后被忽略的文檔���。他們應(yīng)該是活體�,吐故納新�����。
本文轉(zhuǎn)載自微信公眾號(hào)“安全?���!?/strong>