近日��,開放Web應(yīng)用程序安全項目(OWASP)發(fā)布了威脅建模工具——Threat Dragon的可安裝桌面版本���。Threat Dragon是一個跨平臺的開源工具����,可以幫助企業(yè)簡化風(fēng)險評估流程。
?
免費(fèi)和開源的Threat Dragon工具包括系統(tǒng)圖表和規(guī)則引擎��,可自動確定和排列安全威脅�,建議緩解措施并實施對策。
?
新推出的桌面版本基于Electron����,提供Windows、macOS桌面安裝程序以及Linux的RPM和Debian軟件包�,模型文件存儲在本地文件系統(tǒng)上。
?
Threat Dragon還有一個Web版本程序�����,其模型文件存儲在GitHub中--未來還計劃支持其他存儲方式。OWASP表示���,它目前正在維護(hù)一個與主代碼分支同步的工作原型�����。
?
“Threat Dragon的用戶不限于安全專業(yè)人員����、威脅與威脅計劃的負(fù)責(zé)人����,英國紐卡斯?fàn)柭?lián)合創(chuàng)始人,OWASP章節(jié)的創(chuàng)始人邁克·古德溫(Mike Goodwin)強(qiáng)調(diào):
Threat Dragon的目標(biāo)洪湖還包括軟件開發(fā)團(tuán)隊����,包括開發(fā)人員、測試人員�、用戶體驗專家和操作人員。Threat Dragon的用戶體驗強(qiáng)調(diào)簡潔而不失吸引力�。展望未來,我們的目標(biāo)是使其易于集成到正常的開發(fā)生命周期中����,盡管目前尚不十分完善�����。
OWASP表示����,威脅建模被廣泛認(rèn)為是“在開發(fā)生命周期的早期將安全性融入應(yīng)用程序設(shè)計的強(qiáng)大方法”��,它構(gòu)成了組織的縱深防御策略的一部分�����。
?
Threat Dragon的項目維護(hù)人員目前正在收集臺式機(jī)版本的用戶反饋���,目前看來業(yè)界的反響比較正面,但也存在一些問題��。古德溫說:
對于Threat Dragon用戶體驗的反應(yīng)大多是積極的�����。顯然��,這仍然是一個早期項目,維護(hù)該項目的團(tuán)隊非常小���,因此可以更靈活地解決錯誤和功能請求��。
從目前用戶的反饋看�����,桌面版本還存在一些問題�����,包括保存模型時黑屏的問題��。戈德溫說���,這是一個已知的錯誤,應(yīng)盡快解決�����。他說:
對我來說���,主要的問題是桌面應(yīng)用程序上缺乏自動更新�,以及在編輯圖表時缺乏'撤消'功能。我還擔(dān)心該工具的Web版本會需要過多的GitHub權(quán)限��。
此外���,古德溫還透露了未來把Threat Dragon與其他軟件生命周期工具和流程集成的計劃����。
?
他說��,Web版本的第一步工作是將模型與源代碼一起存儲��,因為目前僅支持GitHub�����。
?
這應(yīng)該是實踐最佳生命周期集成的平臺�。一個簡單的例子就是��,如果威脅模型不是最新的�����,或者存在新的��,未緩解的威脅,那么CI/CD策略將面臨失敗�。
這樣做(與軟件生命周期工具和流程集成)的目的是防止威脅模型成為一次性創(chuàng)建然后被忽略的文檔。他們應(yīng)該是活體�����,吐故納新���。
本文轉(zhuǎn)載自微信公眾號“安全?�!?/strong>