本節書摘來自華章計算機《威脅模組化:設計和傳遞更安全的軟體》一書中的第1章,第1.3節,作者:[美] 亞當·斯塔克 更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視。
這章包括很多内容。當你坐下來真正獨立工作的時候,評估你所做的工作可能會有些棘手。這裡專門有一些檢查表來幫助你避免最常見的問題。每個問題都該大聲朗讀出來,要在場的人都給出肯定回答。讀出每個問題之後,鼓勵其他參與的每個人提問題或者澄清問題答案。
做示意圖
1.不改變示意圖的話我們能講故事嗎?
2.不用“有時”、“也”這樣的詞可以講故事嗎?
3.我們可以通過觀看這個示意圖來找到軟體應在哪裡做出安全政策嗎?
4.示意圖顯示了所有信任邊界嗎?比如不同的賬戶在哪互相影響,是否包含了所有使用者界面設計、所有應用程式角色、所有網絡界面?
5.圖表反映了目前或計劃中的軟體實作嗎?
6.我們能看到所有資料流向哪裡、誰在使用嗎?
7.我們能看到将資料從一個資料存儲區轉移到另外一個存儲區的過程嗎?
威脅
1.我們尋找了每一個stride威脅嗎?
2.我們檢視了簡圖中的每一個因素嗎?
3.我們看了簡圖中的每一個資料流嗎?
資料流是一種元素,但是人們開始的時候有時會忽略它,是以,在添加備援時問題3起到承上啟下的作用(腰帶和吊帶可保持紳士的褲子不往下掉)。
驗證威脅
1.對于每個威脅我們是否都寫下或者記錄了漏洞?
2.解決每個威脅是否都有一個推薦的、計劃的、實施的方法?
3.每個威脅是否有測試案例?
4.軟體是否通過了測試?
![“雲管邊端”協同的邊緣計算安全防護解決方案0 引 言1 5G 及邊緣計算2 邊緣計算面臨的風險3 “雲管邊端”安全防護技術4 “雲管邊端”安全防護實踐5 結 語[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)