OWASP Threat Dragon 1.0 – darmowe narzędzie do modelowania zagrożeń dla aplikacji webowych

03 marca 2020, 12:37 | W biegu | komentarzy 5
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Po kilku latach rozwoju, niedawno dostaliśmy wersję 1.0 narzędzia Threat Dragon. O co chodzi w modelowaniu zagrożeń? W skrócie: często aplikacje webowe są tworzone bez żadnego pomysłu na bezpieczeństwo, czasem ten pomysł jest, ale wynika z punktowej inicjatywy danej osoby; przy dużych systemach jednak warto się kompleksowo zastanowić jakie są rozmaite zagrożenia dla naszej aplikacji (i później systematycznie sobie z nimi radzić). Czasem może okazać się, że np. nie jest problemem jakaś techniczna luka, ale raczej dostęp dla zewnętrznego partnera, który o ITsec w życiu nie słyszał i nie chce słyszeć („błeee, to tylko niepotrzebne koszty”).

W każdym razie mamy dostępne darmowe i opensourceowe narzędzie dla osób działających zgodnie z modelem STRIDE. Twórcy obiecują świetny interfejs użytkownika / łatwość pracy z narzędziem również osobom nie będących specjalistami IT / integrację z  narzędziami używanymi często w procesie SDLC:

  • Great UX – using Threat Dragon should be simple, engaging and fun
  • A powerful threat/mitigation rule engine – this lowers the barrier to entry for teams and allow non-specialists to contribute
  • Integration points with other development lifecycle tools – when implemented this will ensure that models slot easily into the development lifecycle and remain relevant as the project evolves

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Kodi

    Fajne narzędzie! A możecie coś polecić na Kaliego by tworzyć mindmapy do pentestów? Większość narzędzi online.

    Odpowiedz
    • Wiktor

      XMind

      Odpowiedz
    • Sphere

      Narzędzia on-line, pentest.. trochę słabe połączenie :P

      Odpowiedz
    • mind

      freeplane

      Odpowiedz
  2. Wolski
    Odpowiedz

Odpowiedz na Sphere