OWASP发布威胁建模工具Threat Dragon桌面版

近日，开放Web应用程序安全项目（OWASP）发布了威胁建模工具——Threat Dragon的可安装桌面版本。Threat Dragon是一个跨平台的开源工具，可以帮助企业简化风险评估流程。

免费和开源的Threat Dragon工具包括系统图表和规则引擎，可自动确定和排列安全威胁，建议缓解措施并实施对策。

新推出的桌面版本基于Electron，提供Windows、macOS桌面安装程序以及Linux的RPM和Debian软件包，模型文件存储在本地文件系统上。

Threat Dragon还有一个Web版本程序，其模型文件存储在GitHub中--未来还计划支持其他存储方式。OWASP表示，它目前正在维护一个与主代码分支同步的工作原型。

“Threat Dragon的用户不限于安全专业人员、威胁与威胁计划的负责人，英国纽卡斯尔联合创始人，OWASP章节的创始人迈克·古德温（Mike Goodwin）强调：

Threat Dragon的目标洪湖还包括软件开发团队，包括开发人员、测试人员、用户体验专家和操作人员。Threat Dragon的用户体验强调简洁而不失吸引力。展望未来，我们的目标是使其易于集成到正常的开发生命周期中，尽管目前尚不十分完善。

OWASP表示，威胁建模被广泛认为是“在开发生命周期的早期将安全性融入应用程序设计的强大方法”，它构成了组织的纵深防御策略的一部分。

Threat Dragon的项目维护人员目前正在收集台式机版本的用户反馈，目前看来业界的反响比较正面，但也存在一些问题。古德温说：

对于Threat Dragon用户体验的反应大多是积极的。显然，这仍然是一个早期项目，维护该项目的团队非常小，因此可以更灵活地解决错误和功能请求。

从目前用户的反馈看，桌面版本还存在一些问题，包括保存模型时黑屏的问题。戈德温说，这是一个已知的错误，应尽快解决。他说：

对我来说，主要的问题是桌面应用程序上缺乏自动更新，以及在编辑图表时缺乏'撤消'功能。我还担心该工具的Web版本会需要过多的GitHub权限。

此外，古德温还透露了未来把Threat Dragon与其他软件生命周期工具和流程集成的计划。

他说，Web版本的第一步工作是将模型与源代码一起存储，因为目前仅支持GitHub。

这应该是实践最佳生命周期集成的平台。一个简单的例子就是，如果威胁模型不是最新的，或者存在新的，未缓解的威胁，那么CI/CD策略将面临失败。

这样做（与软件生命周期工具和流程集成）的目的是防止威胁模型成为一次性创建然后被忽略的文档。他们应该是活体，吐故纳新。