CyberGlossary

应用安全

威胁建模

别称: 架构风险分析

定义

一种结构化分析方法,识别系统的资产、威胁、漏洞与缓解措施,从而在设计阶段构建安全,而不是事后弥补。

威胁建模是架构师、开发人员与安全工程师协同进行的一项工程实践,用于推理系统可能遭受的攻击方式。其过程包括对应用进行分解(数据流图、信任边界、资产),使用 STRIDE、PASTA 或 LINDDUN 等框架枚举威胁,并依据 DREAD 或 CVSS 等风险评分确定缓解措施的优先级。在 SDLC 早期开展威胁建模,可以将安全工作左移,远比发布后修复缺陷更具成本效益。其产物通常是一份持续维护的模型或文档,每当架构、依赖或信任边界发生变化时都需要更新。

示例

  • 针对新支付微服务的 STRIDE 工作坊,发现两个内部 API 之间缺少身份认证检查。
  • 数据流图评审揭示一个未签名验证的不可信 webhook 跨越了信任边界。

相关术语