作者:
近日,开放Web应用程序安全项目(OWASP)发布了威胁建模工具——Threat Dragon的可安装桌面版本。Threat Dragon是一个跨平台的开源工具,可以帮助企业简化风险评估流程。
免费和开源的Threat Dragon工具包括系统图表和规则引擎,可自动确定和排列安全威胁,建议缓解措施并实施对策。
新推出的桌面版本基于Electron,提供Windows、macOS桌面安装程序以及Linux的RPM和Debian软件包,模型文件存储在本地文件系统上。
Threat Dragon还有一个Web版本程序,其模型文件存储在GitHub中--未来还计划支持其他存储方式。OWASP表示,它目前正在维护一个与主代码分支同步的工作原型。
“Threat Dragon的用户不限于安全专业人员、威胁与威胁计划的负责人,英国纽卡斯尔联合创始人,OWASP章节的创始人迈克·古德温(Mike Goodwin)强调:
Threat Dragon的目标洪湖还包括软件开发团队,包括开发人员、测试人员、用户体验专家和操作人员。Threat Dragon的用户体验强调简洁而不失吸引力。展望未来,我们的目标是使其易于集成到正常的开发生命周期中,尽管目前尚不十分完善。
OWASP表示,威胁建模被广泛认为是“在开发生命周期的早期将安全性融入应用程序设计的强大方法”,它构成了组织的纵深防御策略的一部分。
Threat Dragon的项目维护人员目前正在收集台式机版本的用户反馈,目前看来业界的反响比较正面,但也存在一些问题。古德温说:
对于Threat Dragon用户体验的反应大多是积极的。显然,这仍然是一个早期项目,维护该项目的团队非常小,因此可以更灵活地解决错误和功能请求。
从目前用户的反馈看,桌面版本还存在一些问题,包括保存模型时黑屏的问题。戈德温说,这是一个已知的错误,应尽快解决。他说:
对我来说,主要的问题是桌面应用程序上缺乏自动更新,以及在编辑图表时缺乏'撤消'功能。我还担心该工具的Web版本会需要过多的GitHub权限。
此外,古德温还透露了未来把Threat Dragon与其他软件生命周期工具和流程集成的计划。
他说,Web版本的第一步工作是将模型与源代码一起存储,因为目前仅支持GitHub。
这应该是实践最佳生命周期集成的平台。一个简单的例子就是,如果威胁模型不是最新的,或者存在新的,未缓解的威胁,那么CI/CD策略将面临失败。
这样做(与软件生命周期工具和流程集成)的目的是防止威胁模型成为一次性创建然后被忽略的文档。他们应该是活体,吐故纳新。
本文转载自微信公众号“安全牛”