Microsoft Security Development Lifecycle

Search


Outil SDL Microsoft de modélisation des menaces

Téléchargez l'outil SDL de modélisation des menaces (.msi)
(Visio 2007 est requis)


La modélisation des menaces est un élément principal au cœur de la prodécure Security Developement Lifecycle (SDL) de Microsoft

Dans le cadre de la phase de conception de SDL, la modélisation des menaces permet à des architectes logiciels d'identifier et d'atténuer le plus tôt possible des problèmes de sécurité potentiels, lorsque ces problèmes sont encore assez faciles à résoudre. Par conséquent, cette modélisation aide à réduire le coût total de développement.

L'outil SDL de modélisation des menaces n'est pas un outil réservé aux experts

L'outil SDL de modélisation des menaces n'a pas été conçu pour être exclusivement utilisé par des experts en sécurité. Il simplifie la modélisation des menaces pour tous les développeurs en fournissant des conseils sur la création et l'analyse des modèles de menaces.

L'outil SDL de modélisation des menaces permet à tout développeur ou architecte logiciel de :

  • Communiquer sur la conception de sécurité des systèmes
  • Analyser ces conceptions pour rechercher des problèmes de sécurité potentiels, en utilisant une méthodologie ayant fait ses preuves
  • Suggérer et gérer des atténuations des problèmes de sécurité

Processus SDL de modélisation des menaces

Processus SDL de modélisation des menaces

Fonctionnalités et innovations de l'outil SDL de modélisation des menaces

L'outil SDL de modélisation des menaces s'intègre dans n'importe quel système de suivi de problèmes, afin que le processus de modélisation des menaces fasse intégralement partie du processus de développement standard.

Voici un aperçu des nouvelles fonctions :

  • Intégration : systèmes de suivi de problèmes
  • Automatisation : Conseil et avis pour dessiner un modèle
  • STRIDE par Framework d'élément : Analyse guidée des menaces et des atténuations selon la taxonomie uSurpation, falsificaTion, Répudiation, divulgation d'Informations, Déni de service, et Elévation de privilèges
  • Capacités de rapport : Activités de sécurité et test dans la phase de vérification

Méthodologie unique de l'outil SDL de modélisation des menaces

L'outil SDL de modélisation des menaces diffère des autres outils et des autres approches par deux aspects importants :

  • Il est conçu pour les développeurs et centré sur le logiciel

    De nombreux outils de modélisation des menaces se concentrent sur les actifs ou les attaquants. SDL, de son côté, est centré sur le logiciel. Ce nouvel outil repose sur des activités que tous les développeurs et architectes connaissent, comme des dessins structurels de pour leur architecture logicielle.

  • Il est axé sur l'analyse de la conception

    Les termes « modélisation des menaces » peuvent faire référence soit à des exigences soit à une technique d'analyse de la conception. Parfois, ils décrivent une combinaison complexe des deux. L'approche Microsoft SDL de la modélisation des menaces est une technique d'analyse centrée sur la conception.

Visitez la page des Ressources et publications SDL pour en savoir plus sur la modélisation des menaces.