脅威モデリングに関する 3 つの一般的な神話を暴く from securityboulevard.com

1. 通説: セキュリティの専門家だけが脅威モデルを完成できる
エンジニアリングの任務がコードをドアの外に出し、修正を回避することである場合、この不作為のコストを彼らに提示することで、彼らがどのように支援できるかをギアをオンにすることができます.従来の脅威モデリング セッションで通常尋ねられる質問をするツールを彼らの手に渡し、能力を最大限に発揮できるように約 30 分与えます。
その時点で、アプリケーションの小さなプールをより深く掘り下げることができる脅威モデリングを持つことは、おそらくそれにアプローチしたい方法です.これは、通常、心配することが少なく、適切なツールを使用すると、これらのモデルをより頻繁に更新できるためです。
部分的に完全な脅威モデルは、脅威モデルがまったくないよりも優れていることを覚えておくことが重要です。
完全な脅威モデルの目標投稿が、非常に長く、詳細な手動分析に依存している場合、影響を与えるのに十分なポートフォリオをカバーすることはできません。
たとえば、さまざまなアプリケーション間の共通点、それらの設計パターン、およびそれらから最も一般的に生じる脅威を調べることができます。