近日�,開(kāi)放Web應用程序安全項目(OWASP)發(fā)布了威脅建模工具——Threat Dragon的可安裝桌面版本��。Threat Dragon是一個(gè)跨平臺的開(kāi)源工具���,可以幫助企業(yè)簡(jiǎn)化風(fēng)險評估流程�����。
?
免費和開(kāi)源的Threat Dragon工具包括系統圖表和規則引擎����,可自動(dòng)確定和排列安全威脅�,建議緩解措施并實(shí)施對策���。
?
新推出的桌面版本基于Electron����,提供Windows�����、macOS桌面安裝程序以及Linux的RPM和Debian軟件包���,模型文件存儲在本地文件系統上����。
?
Threat Dragon還有一個(gè)Web版本程序���,其模型文件存儲在GitHub中--未來(lái)還計劃支持其他存儲方式���。OWASP表示���,它目前正在維護一個(gè)與主代碼分支同步的工作原型����。
?
“Threat Dragon的用戶(hù)不限于安全專(zhuān)業(yè)人員�、威脅與威脅計劃的負責人����,英國紐卡斯爾聯(lián)合創(chuàng )始人�����,OWASP章節的創(chuàng )始人邁克·古德溫(Mike Goodwin)強調:
Threat Dragon的目標洪湖還包括軟件開(kāi)發(fā)團隊�����,包括開(kāi)發(fā)人員���、測試人員����、用戶(hù)體驗專(zhuān)家和操作人員�����。Threat Dragon的用戶(hù)體驗強調簡(jiǎn)潔而不失吸引力����。展望未來(lái)�,我們的目標是使其易于集成到正常的開(kāi)發(fā)生命周期中����,盡管目前尚不十分完善��。
OWASP表示���,威脅建模被廣泛認為是“在開(kāi)發(fā)生命周期的早期將安全性融入應用程序設計的強大方法”�����,它構成了組織的縱深防御策略的一部分�����。
?
Threat Dragon的項目維護人員目前正在收集臺式機版本的用戶(hù)反饋��,目前看來(lái)業(yè)界的反響比較正面��,但也存在一些問(wèn)題��。古德溫說(shuō):
對于Threat Dragon用戶(hù)體驗的反應大多是積極的��。顯然�����,這仍然是一個(gè)早期項目����,維護該項目的團隊非常小����,因此可以更靈活地解決錯誤和功能請求��。
從目前用戶(hù)的反饋看����,桌面版本還存在一些問(wèn)題�,包括保存模型時(shí)黑屏的問(wèn)題���。戈德溫說(shuō)����,這是一個(gè)已知的錯誤��,應盡快解決�。他說(shuō):
對我來(lái)說(shuō)����,主要的問(wèn)題是桌面應用程序上缺乏自動(dòng)更新�����,以及在編輯圖表時(shí)缺乏'撤消'功能���。我還擔心該工具的Web版本會(huì )需要過(guò)多的GitHub權限���。
此外�,古德溫還透露了未來(lái)把Threat Dragon與其他軟件生命周期工具和流程集成的計劃���。
?
他說(shuō)�,Web版本的第一步工作是將模型與源代碼一起存儲�����,因為目前僅支持GitHub��。
?
這應該是實(shí)踐最佳生命周期集成的平臺����。一個(gè)簡(jiǎn)單的例子就是��,如果威脅模型不是最新的��,或者存在新的��,未緩解的威脅���,那么CI/CD策略將面臨失敗���。
這樣做(與軟件生命周期工具和流程集成)的目的是防止威脅模型成為一次性創(chuàng )建然后被忽略的文檔���。他們應該是活體��,吐故納新���。
本文轉載自微信公眾號“安全?����!?/strong>