我检查了很多不同的工具,但没有一个能满足要求。许多人没有 DFD 和攻击树的元素,Microsoft 威胁建模工具只能在 Windows 上运行,Threat Modeler是基于 Web 的,Threat Dragon使用起来很尴尬,而Dia又旧又笨重而且有问题。
我对我的发现感到非常失望,所以我搔了搔痒,开始开发一个新的基于 Electron 的应用程序,我希望它非常适合我,也希望能适合其他人。对此进行初步研究时,我遇到了mxgraph项目,它似乎是完美的核心图表组件。然后我看到它被用作一个名为draw.io的工具的一部分,幸运的是,它非常适合,有一些配置和定制......
Draw.io 没有提供用于 DFD 和攻击树的专用库,但它拥有所有元素。它们只是分布在几个不同的库中。在使用该工具一段时间后,我发现自定义元素并将它们添加到可以导出以便于重用的自定义库中非常容易。我创建了两个新库,其中包含 DFD 和攻击树所需的一切,并将它们放在 Github 上。
这些是库中可用的元素dfd.xml
:
除了经典的 DFD 元素外,该库还包含一个注释元素、资产标签、威胁参与者、安全控制和方便的表格,用于直接在图表中记录它们。
为了向您展示这一切如何协同工作,我创建了一个简单的虚构系统图:
这些是库中可用的元素attack-tree.xml
:
为了向您展示它们如何协同工作,我重新创建了经典的Open Safe攻击树:
恭喜!您现在已准备好威胁模型。为了让 draw.io 变得更好,我建议通过单击Extras菜单并选择 Minimal 主题来打开 Minimal 主题。
本文系转载,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文系转载,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。