摘要
威胁建模是帮助保护系统、应用程序、网络和服务的有效方法。 它可以识别潜在的威胁并推荐风险降低策略,以帮助你在开发生命周期的早期实现安全目标。
在本模块中,您将会:
- 了解明确要求和假设以帮助创建数据流关系图的重要性
- 了解可帮助你查找系统中安全问题的框架
- 了解有助于减轻或消除潜在威胁的安全控制类别
- 重点介绍在部署之前验证假设、要求和修复的重要性
接下来
在此学习路径的后续几个模块中,我们将详细了解在四个阶段中引入的每个概念:
| 模块 | Title | 说明 |
|---|---|---|
| 2 | 使用数据流关系图元素创建威胁模型 | 了解数据流关系图中的每个元素,包括何时使用它们以及要包含的上下文 |
| 3 | 提供具有适当深度层的上下文 | 在创建数据流关系图之前,了解每个上下文层次的差异和适用情形。 |
| 4 | 处理数据流关系图时关注适当的威胁模型 | 了解关注威胁建模活动的不同方法 |
| 5 | 使用框架识别威胁并找到减少或消除风险的方法 | 深入研究 STRIDE,并详细了解存在的风险以及如何保护系统 |
| 6 | 设置问题的优先级并应用安全控制措施 | 了解如何设置威胁优先级,并了解系统安全控制的不同类型和功能 |
| 7 | 使用推荐工具创建数据流图 | 了解可用于威胁建模的工具 |