软件漏洞分析技术第14章软件架构安全分析。

  • 软件架构安全分析
    • 基本原理
    • 方法实现
      • 形式化分析
      • 工程化分析
    • 实例分析
    • 典型工具
      • 威胁建模工具
      • 软件架构分析工具

基本原理

软件架构是一系列相关的抽象模式,用于指导大型软件系统各个方面的设计。描述的对象是直接构成系统的抽象组件。各个组件之间的连接则明确和相对细致第描述组件之间的通讯。

方法实现

现在软件架构安全分析可以分为两类:

  1. 形式化分析,分析结果精确、可量化,自动化程度高,但实用性差
  2. 工程化分析,实用性强,但自动化程度化

常见的工程化分析技术

  1. 场景分析法
  2. 错误用例分析法
  3. 威胁建模法

实例分析

工程化分析实例,基于 Web 应用程序的威胁建模基本步骤:

  1. 确定安全目标
  2. 创建 Web 应用程序概述
  3. 分解应用
  4. 确定威胁
  5. 确定漏洞

典型工具

威胁建模工具:

  1. 图表
  2. 分析模型
  3. 描述环境
  4. 生成报告

软件架构分析工具有 IBM 软件架构师工具包。