threat
modeling:威胁模型分析——已经成为微软公司开发人员用于鉴别风险、并依据它作出更加设计、编码和测试决定的顶级安全分析方法学之一。其做法是在
产品设计好之后,利用其所产生的数据流程图[Data Flow
Diagram]观察产品的信息流,同时根据给定的几项原则[Stride]找出可能的潜在威胁,然后再一项项根据重要性进行修正。微软在推动其产品安全
性的举措中,常采用这项原则并依此再开发出一系列其它方法,以增强软件开发时的安全性。大多关于威胁模型分析方法的使用都可以在《Writing
Secure Code, Second Edition》(By Michael Howard and David
LeBlanc)这本书里找到。还有一本关于 threat modeling 的专著是即将出版的《Threat Modeling》(By
Frank Swiderski and Window Snyder)。