OWASP發(fā)布威脅建模工具Threat Dragon桌面版

作者:

時間:
2020-03-13

近日,開放Web應(yīng)用程序安全項目(OWASP)發(fā)布了威脅建模工具——Threat Dragon的可安裝桌面版本。Threat Dragon是一個跨平臺的開源工具,可以幫助企業(yè)簡化風(fēng)險評估流程。

?

免費(fèi)和開源的Threat Dragon工具包括系統(tǒng)圖表和規(guī)則引擎,可自動確定和排列安全威脅,建議緩解措施并實施對策。

?

新推出的桌面版本基于Electron,提供Windows、macOS桌面安裝程序以及Linux的RPM和Debian軟件包,模型文件存儲在本地文件系統(tǒng)上。

?

Threat Dragon還有一個Web版本程序,其模型文件存儲在GitHub中--未來還計劃支持其他存儲方式。OWASP表示,它目前正在維護(hù)一個與主代碼分支同步的工作原型。

?

“Threat Dragon的用戶不限于安全專業(yè)人員、威脅與威脅計劃的負(fù)責(zé)人,英國紐卡斯?fàn)柭?lián)合創(chuàng)始人,OWASP章節(jié)的創(chuàng)始人邁克·古德溫(Mike Goodwin)強(qiáng)調(diào):


Threat Dragon的目標(biāo)洪湖還包括軟件開發(fā)團(tuán)隊,包括開發(fā)人員、測試人員、用戶體驗專家和操作人員。Threat Dragon的用戶體驗強(qiáng)調(diào)簡潔而不失吸引力。展望未來,我們的目標(biāo)是使其易于集成到正常的開發(fā)生命周期中,盡管目前尚不十分完善。


OWASP表示,威脅建模被廣泛認(rèn)為是“在開發(fā)生命周期的早期將安全性融入應(yīng)用程序設(shè)計的強(qiáng)大方法”,它構(gòu)成了組織的縱深防御策略的一部分。

?

Threat Dragon的項目維護(hù)人員目前正在收集臺式機(jī)版本的用戶反饋,目前看來業(yè)界的反響比較正面,但也存在一些問題。古德溫說:


對于Threat Dragon用戶體驗的反應(yīng)大多是積極的。顯然,這仍然是一個早期項目,維護(hù)該項目的團(tuán)隊非常小,因此可以更靈活地解決錯誤和功能請求。


從目前用戶的反饋看,桌面版本還存在一些問題,包括保存模型時黑屏的問題。戈德溫說,這是一個已知的錯誤,應(yīng)盡快解決。他說:


對我來說,主要的問題是桌面應(yīng)用程序上缺乏自動更新,以及在編輯圖表時缺乏'撤消'功能。我還擔(dān)心該工具的Web版本會需要過多的GitHub權(quán)限。


此外,古德溫還透露了未來把Threat Dragon與其他軟件生命周期工具和流程集成的計劃。

?

他說,Web版本的第一步工作是將模型與源代碼一起存儲,因為目前僅支持GitHub。

?

這應(yīng)該是實踐最佳生命周期集成的平臺。一個簡單的例子就是,如果威脅模型不是最新的,或者存在新的,未緩解的威脅,那么CI/CD策略將面臨失敗。


這樣做(與軟件生命周期工具和流程集成)的目的是防止威脅模型成為一次性創(chuàng)建然后被忽略的文檔。他們應(yīng)該是活體,吐故納新。


本文轉(zhuǎn)載自微信公眾號“安全?!?/strong>