OWASP Threat Dragon — это инструмент моделирования, используемый для создания диаграмм моделей угроз в рамках жизненного цикла безопасной разработки. Threat Dragon следует ценностям и принципам манифеста моделирования угроз. Его можно использовать для регистрации возможных угроз и принятия решений по их снижению, а также для визуального указания компонентов модели угроз и поверхностей угроз. Threat Dragon работает либо как веб-приложение, либо как настольное приложение.
Threat Dragon поддерживает STRIDE/ LINDUN /CIA/DIE/ PLOT4ai , предоставляет диаграммы моделирования и реализует механизм правил для автоматического создания угроз и их смягчения.
Ресурсы
Для начала используйте документацию версии 1 или версии 2 , а также запись краткой демонстрации Майка Гудвина во время саммита OWASP Open Security в июне 2020 года.
Введение в Threat Dragon представлено в серии OWASP Spotlight , а семинар Влада Стирана по геймификации моделирования угроз показывает , как использование Threat Dragon может сделать моделирование угроз увлекательным.
Существует несколько страниц сообщества OWASP, на которых представлены обзоры моделирования угроз и того, как начать работу: « Моделирование угроз» и «Процесс моделирования угроз» .
Самый простой способ связаться с сообществом Threat Dragon — через канал проекта OWASP Slack #project-threat-dragon . Возможно, вам сначала придется подписаться .
Связанные проекты
- OWASP pytm (Моделирование угроз Python)
- Памятка OWASP по моделированию угроз
- Threagile — Agile Threat Modeling , с открытым исходным кодом, хотя и не из OWASP.
https://owasp.org/www-project-threat-dragon/