Entry № 1300
Trike
Trike 是什么?
Trike一种开源威胁建模方法,采用以需求为导向、基于风险的视角,围绕参与者、资产及其允许的操作展开。
Trike 是一种开源威胁建模框架,最早发布于 2005 年,并通过后续论文不断完善。与 STRIDE 等以攻击者为中心的方法不同,Trike 以需求为导向:分析人员先从防御视角出发,在需求模型(Requirements Model)中刻画参与者、资产、预期操作以及约束它们的规则,然后据此推导出实现模型(Implementation Model)和威胁模型(Threat Model)。威胁被列为对这些规则的拒绝服务或权限提升违反,按概率与影响进行评分,最终形成驱动缓解措施的风险矩阵。Trike 通常用于内部应用,尤其是受监管环境下的架构评审和安全需求工程。它由社区维护,而非由任何标准组织背书。
● 示例
- 01
架构师在设计评审中通过 Trike 的"参与者-操作-资产"矩阵推导出具体的安全需求。
- 02
安全团队在同一项目中将 Trike 用于需求建模,将 STRIDE 用于技术层面的威胁枚举。
● 常见问题
Trike 是什么?
一种开源威胁建模方法,采用以需求为导向、基于风险的视角,围绕参与者、资产及其允许的操作展开。 它属于网络安全的 合规与框架 分类。
Trike 是什么意思?
一种开源威胁建模方法,采用以需求为导向、基于风险的视角,围绕参与者、资产及其允许的操作展开。
如何防御 Trike?
针对 Trike 的防御通常结合技术控制与运营实践,详见上方完整定义。