軟件架構自學筆記-- 架構設計與安全控制

軟件架構與設計分析

什麼是架構與設計

      構與設計實踐經過安全控制分析、深刻評估和緩解支持等服務，識別缺失或薄弱的安全控制措施，瞭解安全設計最佳實踐，並減輕可能增長違規風險的安全漏洞

      保障：

l  根據行業最佳實踐評估關鍵安全控制的設計，以肯定是否存在錯誤配置，弱化，誤用或丟失。

l  威脅建模可識別形成傷害的威脅代理類型，並採用惡意黑客的視角來了解他們能夠形成多大的破壞。咱們超越了典型的攻擊預設列表來思考可能沒有被考慮過的新攻擊或攻擊。

威脅建模經過識別如下內容來定義整個攻擊面：

1. 固定攻擊以外的威脅標準攻擊並不老是對您的系統形成風險。執行威脅模型以識別系統構建方式所特有的攻擊。
2. 威脅代理相對於體系結構存在的位置模擬威脅代理的位置，動機，技能和能力，以肯定潛在攻擊者與系統體系結構相關的位置。
3. 前N個列表，攻擊者和世界末日場景建立和更新威脅模型，以使框架優先於與您的應用程序相關的內部或外部攻擊者。
4. 須要額外保護的組件突出顯示資產，威脅代理和控制，以肯定攻擊者最有可能定位的組件。

l  在軟件開發生命週期（SDLC）中找到並修復安全問題，這比等待代碼編寫或執行QA測試更便宜，更具侵入性和耗時。可是，即便您已經構建或部署了系統，ARA也很是有價值