请输入要查询的词条内容:
威胁模型的创建过程应该包括来自设计团队(编写产品规范的团队)、编程团队和测试团队的代表。每个成员会带来关于产品的不同观点和不同知识。如果威胁模型的创建过程没有包括来自这些团队的人,那么你可能会面临失去产品有价值信息的风险。外部攻击者不能访问开发产品或编写产品规范的人,因此,这些信息资源的利用会成为安全测试的有利条件。
一个典型的威胁模型(TM)由一下三个关键部分组成:
# 数据流程图(DFD)
# 入口点和退出点列举
# 潜在威胁列举