Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Threat Modeling Tool jest podstawowym elementem cyklu projektowania zabezpieczeń (SDL) firmy Microsoft. Umożliwia architektom oprogramowania wczesne identyfikowanie i eliminowanie potencjalnych problemów z zabezpieczeniami, gdy są one stosunkowo łatwe i ekonomiczne. W rezultacie znacznie zmniejsza całkowity koszt rozwoju. Ponadto zaprojektowaliśmy narzędzie z myślą o ekspertach niezwiązanych z zabezpieczeniami, ułatwiając modelowanie zagrożeń wszystkim deweloperom, zapewniając jasne wskazówki dotyczące tworzenia i analizowania modeli zagrożeń.
Odwiedź Threat Modeling Tool, aby rozpocząć pracę już dziś!
Kategorie ograniczania ryzyka
Środki zaradcze Threat Modeling Tool są podzielone na kategorie zgodnie z ramką zabezpieczeń aplikacji internetowej, która składa się z następujących elementów:
| Kategoria | Opis |
|---|---|
| Inspekcja i rejestrowanie | Kto zrobił co i kiedy? Inspekcja i rejestrowanie dotyczą sposobu rejestrowania zdarzeń związanych z zabezpieczeniami w aplikacji |
| Authentication | Jaka jest Twoja rola? Uwierzytelnianie to proces, w którym jednostka potwierdza tożsamość innej jednostki, zazwyczaj za pomocą poświadczeń, takich jak nazwa użytkownika i hasło |
| Autoryzacja | Co możesz zrobić? Autoryzacja to sposób, w jaki aplikacja zapewnia kontrolę dostępu do zasobów i operacji |
| Zabezpieczenia komunikacji | Z kim rozmawiasz? Bezpieczeństwo komunikacji zapewnia, że cała komunikacja odbywa się tak bezpiecznie, jak to możliwe |
| Zarządzanie konfiguracją | Kto działa w aplikacji? Z którymi bazami danych nawiązuje połączenie? Jak administrowana jest aplikacja? Jak te ustawienia są zabezpieczone? Zarządzanie konfiguracją odnosi się do sposobu obsługi tych problemów operacyjnych przez aplikację |
| Kryptografia | Jak przechowujesz wpisy tajne (poufność)? Jak manipulować danymi lub bibliotekami (integralność)? W jaki sposób dostarczasz nasiona dla losowych wartości, które muszą być kryptograficznie silne? Kryptografia odnosi się do sposobu, w jaki aplikacja wymusza poufność i integralność |
| Zarządzanie wyjątkami | Co robi aplikacja w przypadku niepowodzenia wywołania metody w aplikacji? Ile ujawniasz? Czy zwracasz przyjazne informacje o błędach użytkownikom końcowym? Czy przekazujesz cenne informacje o wyjątku do elementu wywołującego? Czy aplikacja nie działa bezpiecznie? |
| Walidacja danych wejściowych | Skąd wiadomo, że dane wejściowe odbierane przez aplikację są prawidłowe i bezpieczne? Walidacja danych wejściowych odnosi się do sposobu filtrowania, czyszczenia lub odrzucania danych wejściowych przez aplikację przed dodatkowym przetwarzaniem. Rozważ ograniczenie danych wejściowych za pośrednictwem punktów wejścia i kodowanie danych wyjściowych za pośrednictwem punktów wyjścia. Czy ufasz danym ze źródeł, takich jak bazy danych i udziały plików? |
| Dane poufne | Jak aplikacja obsługuje poufne dane? Dane poufne odnoszą się do sposobu obsługi przez aplikację wszelkich danych, które muszą być chronione w pamięci, przez sieć lub w magazynach trwałych |
| Zarządzanie sesjami | Jak aplikacja obsługuje i chroni sesje użytkowników? Sesja odnosi się do serii powiązanych interakcji między użytkownikiem a aplikacją internetową |
Pomaga to zidentyfikować:
- Gdzie są najczęściej popełniane błędy
- Gdzie są najbardziej praktycznymi ulepszeniami
W związku z tym te kategorie służą do koncentracji i określania priorytetów zadań związanych z zabezpieczeniami, dzięki czemu jeśli wiesz, że w kategoriach weryfikacji danych wejściowych, uwierzytelniania i autoryzacji wystąpią najbardziej powszechne problemy z zabezpieczeniami, możesz zacząć od tego. Aby uzyskać więcej informacji, odwiedź ten link patentowy
Następne kroki
Odwiedź stronę Threat Modeling Tool Zagrożenia, aby dowiedzieć się więcej o kategoriach zagrożeń używanych przez narzędzie do generowania możliwych zagrożeń projektowych.