SDL安全设计工具,一款支持多人协作实施威胁建模的微信小程序

最新推荐文章于 2021-10-13 14:50:06 发布
最新推荐文章于 2021-10-13 14:50:06 发布
阅读量496 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47208161/article/details/106527576
版权
SDL安全设计工具是一款基于微信小程序的威胁建模工具,支持多人协作,帮助团队实施STRIDE建模。它鼓励业务驱动的安全设计,避免闭门造车,适用于敏捷开发流程。工具提供了道具和使用方法,适合多人和单人使用,旨在提升团队的安全意识和配合度,通过反复的威胁建模活动,提高软件设计的安全性。
摘要由CSDN通过智能技术生成

SDL安全设计工具,一款支持多人协作实施威胁建模的微信小程序楔子痛点威胁建模活动组织方法道具使用方法要点使用示例多人单人Q&A其他游戏参考阅读致谢

    Shingle,音[ˈʃɪŋɡl],是世界上第一款(唯一?)用于安全威胁评估的微信小程序,方便团队开展STRIDE建模,支持项目向导、中英文以及多人协作。

楔子

    对于任何安全工具的使用不要拘泥于现有的用法,本微信小程序并不是简单罗列安全评估的步骤要点,而是进一步研究安全的出发点和供这种研究使用的方法,甲方安全的不要有乙方思路。推行SDL的工作中必须考虑面临的实际情况、现实的确切事实,而不是抱住国内外某些公司的"最佳实践"观念不放(根本没有什么是"最佳实践"),只知道从公式、方法论出发、思想僵化,而不是从实际中具体情况具体分析,是做好不了安全设计的。从业务中来,到业务中去需要精心分析需求,然后把业务所不清楚的安全因素集中起来分析,问题找对了,办法就有了,然后为集中精力为业务赋能,把安全视为产品具备的基本属性,同业务方反复做宣传、解释,使业务学习-提升-学习,坚持下去,见之于行动,无限循环。 

痛点

    笔者越来意识到威胁建模不应当是安全专家闭门造车画出一系列DFD(数据流)图后,对业务人员拿出报告说:系统有XX威胁,会带来XX风险,这里有XX措施,解决他们!现代软件开发的威胁建模环节应当是敏捷和集成的,可以同其他团队建立协作共同实现安全。笔者联想到《威胁建模:交付和设计更安全的软件》书中提到的微软发明的纸牌"权限提升游戏"的思路,尝试开发出一套用于威胁建模的微信小程序为各位软件安全从业人员提供辅助,团队成员按照教程指引,可以方便实施威胁建模,回溯历史模型帮助设计、开发、测试人员思考系统在设计阶段会出现哪些问题,然后将重点资源聚焦在需要消减的威胁上,而不是被动等着渗透测试和安全审计,安全不是黑白盒测试出来的,是设计开发出来的。经常性的威胁建模可以锻炼信

最低0.47元/天 解锁文章
安全乐观主义
关注
基于威胁建模安全设计工具
05-31
用于完成安全需求分析报告中的威胁建模,通过威胁建模来进行安全设计
【渗透测试-web安全SDL -软件安全开发周期
harry_c的博客
01-15 1073
【渗透测试-web安全SDL -软件安全开发周期SDL基本内容块未来发展 SDL SDL即Security Development Lifecycle (SDL),是微软提出的从安全角度指导软件开发过程的管理模式。SDL不是一个空想的理论模型。它是微软为了面对现实世界中安全挑战,在实践中的一步步发展起来的模式。 SDL的核心理念就是将软件安全的考虑集成在软件开发的每一个阶段 需求分析、设计、编码...
elevation-of-privilege:特权提升(EoP)威胁建模纸牌游戏的在线多人版本
04-30
特权提升 特权提升(EoP)是入门和学习威胁建模的简便方法。 这是开发人员,架构师或安全专家可以玩的纸牌游戏。 可以在以下位置找到已部署的版本: : 跑步 要运行游戏,需要启动两个组件。 服务器 用户界面/客户端 开发/本地 可以使用以下命令启动服务器: npm run server 在各自的端口上绑定了3个应用程序: 应用 描述 环境变量 默认 服务器 桌游的游戏服务器,公开socket.io端点 SERVER_PORT 8000 大堂API 游说活动的内部API,不应公开展示 INTERNAL_API_PORT 8002 公开API 用于创建游戏和检索游戏信息的公共API API_PORT 8001 用户界面可以使用以下命令启动: npm run start 还可以静态构建和提供用户界面,请记住,端口号的值将在生成的文件中进行硬编码。 码头工人 泊坞窗
威胁建模设计和交付更安全的软件》——第1章 潜心开始威胁建模1.1 学习威胁建模...
weixin_33957648的博客
07-03 477
本节书摘来自华章计算机《威胁建模设计和交付更安全的软件》一书中的第1章,第1.1节,作者:[美] 亚当·斯塔克 更多章节内容可以访问云栖社区“华章计算机”公众号查看。 第1章 潜心开始威胁建模 谁都可以学习威胁建模,更进一步说,每个人都应该学习威胁建模威胁建模是利用模型来发现安全问题,这意味着通过提取大量细节对安全问题进行全面检查,而不是代码本身。之...
微信小程序安全分析及设计
u011964735的博客
10-13 3351
微信小程序应用安全分析及设计 针对微信关于小程序安全设计的分析 针对微信小程序开发配置及部分配置机制分析微信小程序安全设计: AppSecret 管理员生成AppSecret,在与微信后台交互过程中部分接口使用,如 auth.code2Session 获取会话密钥session_key 安全分析 AppSecret维护必须为小程序管理员维护,默认微信侧管理安全 ❗ AppSecret在生成后需要后台应用保存维护,存在泄漏风险,AppSecret后台留存安全性需后台应用考虑。❗ Tips: AppSec
威胁建模 设计和交付更安全的软件.xmind
12-09
基于《威胁建模设计和交付更安全的软件》目录制作的思维导图,可用作威胁建模学习、安全软件开发,适用于网络安全爱好者、安全架构、软件开发人员,建议搭配图书使用
金融行业SDL威胁建模实践.pdf
08-08
本文档详细介绍了金融行业中软件安全开发生命周期(SDL)中的威胁建模实践,并以微软威胁建模模型为例,深入探讨了软件安全开发的背景、方法、威胁识别以及其他相关素材。同时,文档还涉及了安全问题产生的根本原因...
金融科技SDL 安全设计checklist
04-11
金融科技SDL安全开发生命周期)安全设计checklist是一份针对金融行业在软件开发生命周期中实施安全设计与编码实践的详细指导文档。这份清单强调了在金融科技应用开发中确保代码安全的各个方面,特别关注于减少和...
【软件安全设计安全开发生命周期(SDL
02-23
安全应用从安全设计开始,软件的安全问题很大一部分是由于不安全设计而引入的,微软用多年的经验总结出了安全开发生命周期(SDL),并提出了攻击面最小化、STRIDE威胁建模等多种方法辅助安全人员对软件进行安全...
安全分析工具合辑
HideInTime的博客
06-17 1721
目录 子域名爆破枚举或接管 数据库注入漏洞或认证爆破 网站弱用户名或弱口令枚举爆破 物联网设备认证爆破或漏洞评估 多类型跨站脚本漏洞检测 企业资产管理或数据保护 恶意脚本或木马检测 内网渗透 中间件漏洞评估或信息泄露扫描 特殊组件或漏洞类型扫描 无线网络漏洞评估 局域网探测 动态或静态代码审计 模块化设计扫描器或漏洞评估框架 高级持续性威胁 子域名爆破枚举或接管 h...
威胁建模_现实世界中的威胁建模
weixin_26636643的博客
09-27 1275
威胁建模Mike Goodwin, VP product security and architecture and Technical Fellow, Sage Sage产品安全与架构副总裁兼技术研究员Mike Goodwin 5 Pragmatic Tips from Someone Who Has Experienced the Pain and the Pleasure of Threa...
STRIDE威胁建模
dl71181的博客
09-09 1万+
一、什么是威胁建模 简单的来说,威胁建模就是通过结构化的方法,系统的识别、评估产品的安全风险和威胁,并针对这些风险、威胁制定消减措施的一个过程。 威胁建模是一个非常有用的工具,它的核心是“像攻击者一样思考”。威胁建模可以在产品设计阶段、架构评审阶段或者产品运行时开展,强迫我们站在攻击者的角度去评估产品的安全性,分析产品中每个组件是否可能被篡改、仿冒,是否可能会造成信息泄露、拒绝攻...
MpsxSdzQLi
J-WH博客
08-04 313
1
详解微信小程序开发教程
karamos的专栏
09-22 6144
微信应用开放的服务和组件包含如下: 视图容器:视图(View)、滚动视图、Swiper 基础内容:图标、文本、进度条 表单组件:按钮、表单等等 操作反馈 导航 媒体组建:音频、图片、视频。 地图 画布 文件操作能力 网络:上传下载能力、WebSocket 数据:数据缓存能力 位置:获取位置、查看位置 设备:网络状态、系统信息、重力感应、罗盘 界面:设置导航条、导航、动画、绘图等等 开放接口:登录,...
SDL介绍----1、SDLSDL安全活动
七天
07-06 7496
SDLSDL活动
SDL流程图在线制作工具,轻松绘制专业SDL流程图
csy_csy1的博客
02-21 2314
什么是SDL SDL (Specification and Description Language) ,定义了一种规范和描述语言, 是一种用于描述实时系统的建模语言。 SDL图说明了规范和描述语言建模的过程。它可广泛应用于汽车、航空、通信、医疗和电信领域。 SDL图有三个部分: 系统定义 块 流程 系统定义定义了系统的主要节点(块),如客户端和服务器,而块图显示了更多细节。 流程显示了每个块中的处理步骤。可以参考状态机和UML。 SDL的结构 系统 整体设计被称为系统, 系
2018年国内外最流行的二十款安全工具
Jo_kong的博客
12-30 2366
新年了,是时候扩充你的兵器库! 1、EagleEye​ EagleEye 可以帮你通过一个名字或者至少一张照片找到 Facebook 上面的个人账号,技术上采用了谷歌搜索、ImageRaider Reverse 图像搜索。同时还会在 Instagram 等其他社交媒体平台上找到相同人的账号。最终,你会得到一个 PDF 报告。 下载:https://github.com/ThoughtfulDev/...
微信小程序安全浅析
热门推荐
baize_security的博客
01-17 3万+
近期微信小程序重磅发布,在互联网界掀起不小的波澜,已有许多公司发布了自己的小程序,涉及不同的行业领域。大家在体验小程序用完即走便利的同时,是否对小程序的安全性还存有疑虑。白泽日前对微信小程序进行初步的安全技术分析,在此整理出来抛砖引玉,如有描述不当的地方,欢迎纠正,轻拍。本文中,大白将从小程序的框架、功能模块安全、账户使用安全方面进行剖析,希望能为各位泽友带来不一样的认知。一、小程序框架概述在第
软件安全开发:SDL工具与关键阶段
PPT涵盖了从需求、设计、实现到验证和发布的各个阶段,并列举了不同阶段所用到的工具,如SDL过程模板、威胁建模工具、代码分析工具安全扫描工具等,旨在提高软件的安全性,防止网络安全和信息安全问题。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值