2022-08-11 10:00:43
STRIDE и ASVS
Всем привет!
Для
моделирования угроз можно использовать разные
методологии и практики. Одним из часто встречающихся инструментов является
STRIDE.
Его использование позволяет обобщенно взглянуть на то, какие
угрозы могут быть актуальны для приложения. Дальше –
надо выбрать mitigations (контроли, меры защиты, контрмеры и т.д. – наименования не так важны).
Чтобы упростить процесс Автор repo сделал собственный
mapping между STRIDE и Application Security Verification Standard (ASVS).
Процесс выглядит примерно так:
Моделирование угроз с использованием STRIDE и
Rapid Threat Modelling (личное предпочтение Автора, можно выбрать наиболее интересную Вам)
Использование таблицы-mapping STRIDE и ASVS, чтобы понять, где и какие контроли искать
Адаптация требований под проект
Больше деталей по процессу, также как и сами материалы (включая небольшую книгу про Rapid Threat Modelling)
можно найти в repo.
P.S. Проект только в начале своего пути
1.2K views07:00