软件架构自学笔记-- 架构设计与安全控制

软件架构与设计分析

什么是架构与设计

      构与设计实践经过安全控制分析、深刻评估和缓解支持等服务，识别缺失或薄弱的安全控制措施，了解安全设计最佳实践，并减轻可能增长违规风险的安全漏洞

      保障：

l  根据行业最佳实践评估关键安全控制的设计，以肯定是否存在错误配置，弱化，误用或丢失。

l  威胁建模可识别形成伤害的威胁代理类型，并采用恶意黑客的视角来了解他们能够形成多大的破坏。咱们超越了典型的攻击预设列表来思考可能没有被考虑过的新攻击或攻击。

威胁建模经过识别如下内容来定义整个攻击面：

1. 固定攻击以外的威胁标准攻击并不老是对您的系统形成风险。执行威胁模型以识别系统构建方式所特有的攻击。
2. 威胁代理相对于体系结构存在的位置模拟威胁代理的位置，动机，技能和能力，以肯定潜在攻击者与系统体系结构相关的位置。
3. 前N个列表，攻击者和世界末日场景建立和更新威胁模型，以使框架优先于与您的应用程序相关的内部或外部攻击者。
4. 须要额外保护的组件突出显示资产，威胁代理和控制，以肯定攻击者最有可能定位的组件。

l  在软件开发生命周期（SDLC）中找到并修复安全问题，这比等待代码编写或执行QA测试更便宜，更具侵入性和耗时。可是，即便您已经构建或部署了系统，ARA也很是有价值