《威胁建模:设计和交付更安全的软件》——3.10 准出条件

最新推荐文章于 2020-05-27 00:35:40 发布
最新推荐文章于 2020-05-27 00:35:40 发布
阅读量94 收藏
点赞数
原文链接:https://yq.aliyun.com/articles/118906
版权

本节书摘来自华章计算机《威胁建模:设计和交付更安全的软件》一书中的第3章,第3.10节,作者:[美] 亚当·斯塔克 更多章节内容可以访问云栖社区“华章计算机”公众号查看。

3.10 准出条件

对于用STRIDE的方式是否完成了寻找威胁,有三种方法可以判定。最简单的方法就是看是否找到了STRIDE的每一个类型的威胁。稍微有点难的办法是确保图表中每个元素都找到一个威胁。不过,这两种方法都能在你找到所有威胁之前完成。要更为详尽的话,使用STRIDE-per-element方法,并确保表格的每个框里都有一个威胁。
没有满足这些标准的话,就意味着你还没有完成,但即使满足这些也不能保证你所找到的威胁就是完整的。

weixin_34223655
关注
Java架构师系统架构设计原则
赵广陆
10-10 500
目录 1 导语 2 单体到云上架构体系的演变过程 3 架构设计必知原则 3.1 商业目标原则 3.2 非核心则购买 3.3 简单原则 3.4 成熟可控的技术选型 3.5 一致性原则 3.6 演化原则 3.7 重用原则 3.8 分阶段交付原则 3.9 水平扩展 3.10 前瞻性的设计 3.11 高内聚低耦合原则 3.12 无状态设计 3.13 变化点分离原则 3.14 数据一致性的原则 3.15 数据冗余最小的原则 3.16 异步设计 3.17 逻辑与物理分离的原则 3.18 容灾设计 3.19 高可用
软件工程期末考试复习题
热门推荐
qq_41814324的博客
07-09 1万+
软件工程期末考试复习题 时间:2019年7月5日考 作者:玄月二五 1.8 练习题 —、填空题 1.软件工程是一门综合性的交叉学科,它涉及计算机学科、工程学科、管理学科和数学学科。 2.软件工程研究的主要内容是方法、过程和工具三个货面。 3.由于软件生产的复杂性和高成本,使大型软件生产出现了很多问题,即出现软件危机,软件工程正是为了克服它而提出的一种概念及相关方法和技术 。 4...
威胁建模 设计交付安全软件.xmind
12-09
基于《威胁建模设计交付安全软件》目录制作的思维导图,可用作威胁建模学习、安全软件开发,适用于网络安全爱好者、安全架构、软件开发人员,建议搭配图书使用
威胁建模设计交付安全软件
chengying332
06-23 1477
威胁建模设计交付安全软件》 本书通过各个生动有趣的案例,让读者知道什么是原动力、原动力的意义何在,揭示了人们只要从树立最简单的目标开始,一步一步,不断延伸,不断扩张,最终会攀上事业的高峰的道理。本书是鼓励年轻人积极进取的作品,适合大众阅读... 详细解读 和小伙伴们一起来吐槽
威胁建模设计交付安全软件》——3.6 拒绝服务威胁
weixin_34357962的博客
07-03 110
本节书摘来自华章计算机《威胁建模设计交付安全软件》一书中的第3章,第3.6节,作者:[美] 亚当·斯塔克 多章节内容可以访问云栖社区“华章计算机”公众号查看。 3.6 拒绝服务威胁 拒绝服务威胁是指大量消耗服务资源,表3-6中列举了一些示例。 https://yqfile.alicdn.com/44623d4cb75992b28914856...
威胁建模设计交付安全软件》——3.7 权限提升威胁
weixin_33841503的博客
07-03 172
本节书摘来自华章计算机《威胁建模设计交付安全软件》一书中的第3章,第3.7节,作者:[美] 亚当·斯塔克 多章节内容可以访问云栖社区“华章计算机”公众号查看。 3.7 权限提升威胁 权限提升威胁就是允许某人做超出其权限的事——例如,允许普通用户作为管理员执行代码,或者允许没有任何权限的人远程运行代码。实现权限提升的两种重要途径是崩溃进程和越过权...
威胁建模设计交付安全软件》—— 导读
weixin_33962923的博客
07-03 510
https://yqfile.alicdn.com/fe532ed0ad88c1ec7cc00739f4ba569e1b5fd24d.png" > 前  言一切模型都是错误的,不过有些是有用的。——George Box(20世纪著名统计学家)在构建软件系统时,人们会遇到很多可以预见的安全威胁,对此,本书描述了一些有用的威胁模型,可以用于消除或...
东北大学——考研复试——《软件工程及应用》习题答案
virgilwjj
05-27 4249
软件工程及应用》课后答案一级目录二级目录三级目录 一级目录 二级目录 三级目录
《商业智能深入浅出——Cognos,Informatica技术与应用》
02-21 485
商业智能深入浅出:Cognos,Informatica技术与应用   《商业智能深入浅出:Cognos,Informatica技术与应用》包括:理论篇、项目篇、工具篇和实践篇。其中,理论篇涵盖了商业智能的大部分理论知识,包括进入商业智能领域之前所需要的基础准备知识;项目篇根据实际项目和例子讲解各个知识点,包括如何进行商业智能项目需求的定义,如何开发数据仓库系统,如何实现ETL数据抽取和OLAP多
软件工程 】期末复习要点整理
Java
02-15 1万+
目录 目录 第一章 概论 1.1软件工程四个阶段 1.2软件危机 1.3什么是软件工程 1.4软件生命周期 1.5 软件开发模型 瀑布模型 快速原型模型 增量模型 喷泉模型 螺旋模型 RUP(统一过程) 总结 第一章 概论 1.1软件工程四个阶段 1. 程序设计阶段 2. 软件=程序+文档阶段 3. 软件工程...
威胁建模设计交付安全软件》——3.2 假冒威胁
weixin_34336292的博客
07-03 161
本节书摘来自华章计算机《威胁建模设计交付安全软件》一书中的第3章,第3.2节,作者:[美] 亚当·斯塔克 多章节内容可以访问云栖社区“华章计算机”公众号查看。 3.2 假冒威胁 假冒威胁就是假装自己是别的人或实体。表3-1列举了假装称自己是Acme.com、winsock.dll、奥巴马、警察、尼日利亚反欺诈集团等示例,每个都是代表假冒威胁的一...
威胁建模设计交付安全软件》——3.9 STRIDE变种
weixin_34336526的博客
07-03 444
本节书摘来自华章计算机《威胁建模设计交付安全软件》一书中的第3章,第3.9节,作者:[美] 亚当·斯塔克 多章节内容可以访问云栖社区“华章计算机”公众号查看。 3.9 STRIDE变种 在发现威胁中,STRIDE是非常有用的助记符,不过它也不是完美无缺的。在这一部分内容中,你会学到STRIDE的一些变种,以期能帮助弥补其部分弱点。3.9.1 S...
威胁建模设计交付安全软件》——2.2 集体研讨
weixin_33775582的博客
07-03 125
本节书摘来自华章计算机《威胁建模设计交付安全软件》一书中的第2章,第2.2节,作者:[美] 亚当·斯塔克 多章节内容可以访问云栖社区“华章计算机”公众号查看。 2.2 集体研讨 集体研讨是列举威胁的最传统方法。召集经验丰富的专家集聚一堂,提供工作环境(白板和鸡尾酒餐巾纸都是很传统的),然后开始讨论威胁。集体研讨结果的质量与专家经验和所用时间有很...
X.805安全体系框架
centerschool的博客
06-29 8780
安全框架定义了三个核心的安全组件:安全维度(Security Dimensions)、安全层(Security Layers)和安全平面(Security Planes)。 八个安全维度是: 1、访问控制 2、认证 3、不可否认性 4、数据机密性 5、通信安全 6、数据完整性 7、可用性 8、隐私保护 三个安全层面: 1、基础设施安全层 2、服务安全层 3、应用安全层 三个平面:
威胁建模设计交付安全软件》——2.4 软件模型
weixin_33701617的博客
07-03 551
本节书摘来自华章计算机《威胁建模设计交付安全软件》一书中的第2章,第2.4节,作者:[美] 亚当·斯塔克 多章节内容可以访问云栖社区“华章计算机”公众号查看。 2.4 软件模型 建立清晰的软件模型有助于寻找威胁,否则你会陷入到软件功能正确与否的细节中。图表是软件建模的最佳方法。正如你在第1章学习到的内容,在白板上绘制图表是开始威胁建模非常有效的...
企业网络安全安全维度
weixin_34191845的博客
08-01 1202
这几年国内网络安全概念很热,国家层面在谈,政府在谈,各种公司在谈,各行各业的从业人员也在谈,仿佛网络安全一下子从圈子内专业人员的小众化专业词汇,变成众人热捧的时尚名词,从业人员无论是薪水还是专业地位得到了前所未有的提高与重视。无论从业务保障视角还是专业价值体现甚至到国家安全层次,网络安全 理应上升到一定的高度,得到肯定和重视。 说了这么多网络安全,那么网...
威胁建模设计交付安全软件》——2.5 小结
weixin_33737774的博客
07-03 193
本节书摘来自华章计算机《威胁建模设计交付安全软件》一书中的第2章,第2.5节,作者:[美] 亚当·斯塔克 多章节内容可以访问云栖社区“华章计算机”公众号查看。 2.5 小结 威胁建模的方法不止一种,可以采用资产建模、攻击者建模或软件建模。“你的威胁模型是什么”和集体研讨方法,适用于安全专家,但是对没什么经验的威胁建模者来说,结构化不足。集体研讨...
威胁建模设计交付安全软件》——3.4 否认威胁
weixin_34407348的博客
07-03 159
本节书摘来自华章计算机《威胁建模设计交付安全软件》一书中的第3章,第3.4节,作者:[美] 亚当·斯塔克 多章节内容可以访问云栖社区“华章计算机”公众号查看。 3.4 否认威胁 否认威胁是宣称什么也没做或者对已发生的事件不负责任。对一件事,人们有可能诚实地否认,也有可能带有撒谎性地否认。要了解这个复杂世界经常需要多的知识,那些诚实的否认结果可...
基于Java的都市供求信息网.zip
最新发布
10-07
基于Java的都市供求信息网.zip
北京邮电大学:软件安全威胁建模详解与步骤
安全威胁建模是信息安全领域中的核心实践,它在软件开发...安全威胁建模是一种系统性的方法,它在软件开发过程中起着至关重要的作用,帮助团队识别、评估和减轻潜在的安全风险,从而构建出加健壮和安全软件产品。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值