OWASP Threat Dragon 1.0 – darmowe narzędzie do modelowania zagrożeń dla aplikacji webowych

Po kilku latach rozwoju, niedawno dostaliśmy wersję 1.0 narzędzia Threat Dragon. O co chodzi w modelowaniu zagrożeń? W skrócie: często aplikacje webowe są tworzone bez żadnego pomysłu na bezpieczeństwo, czasem ten pomysł jest, ale wynika z punktowej inicjatywy danej osoby; przy dużych systemach jednak warto się kompleksowo zastanowić jakie są rozmaite zagrożenia dla naszej aplikacji (i później systematycznie sobie z nimi radzić). Czasem może okazać się, że np. nie jest problemem jakaś techniczna luka, ale raczej dostęp dla zewnętrznego partnera, który o ITsec w życiu nie słyszał i nie chce słyszeć (“błeee, to tylko niepotrzebne koszty”).

W każdym razie mamy dostępne darmowe i opensourceowe narzędzie dla osób działających zgodnie z modelem STRIDE. Twórcy obiecują świetny interfejs użytkownika / łatwość pracy z narzędziem również osobom nie będących specjalistami IT / integrację z  narzędziami używanymi często w procesie SDLC:

• Great UX – using Threat Dragon should be simple, engaging and fun
• A powerful threat/mitigation rule engine – this lowers the barrier to entry for teams and allow non-specialists to contribute
• Integration points with other development lifecycle tools – when implemented this will ensure that models slot easily into the development lifecycle and remain relevant as the project evolves

–ms