软件漏洞分析技术:软件架构安全分析
软件漏洞分析技术第14章软件架构安全分析。
- 软件架构安全分析
- 基本原理
- 方法实现
- 形式化分析
- 工程化分析
- 实例分析
- 典型工具
- 威胁建模工具
- 软件架构分析工具
基本原理
软件架构是一系列相关的抽象模式,用于指导大型软件系统各个方面的设计。描述的对象是直接构成系统的抽象组件。各个组件之间的连接则明确和相对细致第描述组件之间的通讯。
方法实现
现在软件架构安全分析可以分为两类:
- 形式化分析,分析结果精确、可量化,自动化程度高,但实用性差
- 工程化分析,实用性强,但自动化程度化
常见的工程化分析技术:
- 场景分析法
- 错误用例分析法
- 威胁建模法
实例分析
工程化分析实例,基于 Web 应用程序的威胁建模基本步骤:
- 确定安全目标
- 创建 Web 应用程序概述
- 分解应用
- 确定威胁
- 确定漏洞
典型工具
威胁建模工具:
- 图表
- 分析模型
- 描述环境
- 生成报告
软件架构分析工具有 IBM 软件架构师工具包。
All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.