雳鉴威胁建模分析系统发布新版本，这两个功能很“秀”

近期，默安科技雳鉴STAC威胁建模分析系统发布了新版本，在功能上取得了两项重要进展。

背景

威胁建模的发展现状

威胁建模作为软件安全开发前期的重要一环，主要使用威胁建模技术，利用知识、经验和情报来识别潜在的风险和漏洞。随着“安全左移“理念的不断深入，威胁建模在软件安全开发领域的价值不断受到业界认可，不仅在金融行业，特别是各大国有银行、股份制银行中展露头角，也在证券和其它类型企业中初具规模。

目前国内的威胁建模产品大多采用问卷的形式，将需要了解的应用系统、业务场景等信息生成调查问卷，让项目成员根据实际情况来选择答案，手动实现从业务需求到安全需求的转化。

思考

当前的威胁建模存在哪些问题？

威胁建模在为开发安全工作带来诸多便利的同时，也引出了许多风险和隐患：

问题一：

开发安全人员经验、能力参差不齐

威胁分析需要开发安全人员具备一定的安全经验和业务理解能力，资质尚浅的开发安全人员输出的威胁分析报告，很容易出现信息遗漏、片面等问题。

问题二：

威胁建模难以跟上业务迭代的脚步

随着数字时代终端智能化、上网碎片化的趋势，加上新冠疫情的影响，大量业务从线下转移到了线上。服务方为了更好地满足客户需求，业务的迭代速度被迫按下加速键，研发人员要维持正常的开发周期已经相当吃力，安全人员更是没有充足的时间和精力去进行威胁建模。

问题三：

知识库缺乏闭环管理、稳定运营

人工威胁建模输出的安全需求和安全设计，往往缺少流程化的管理，导致威胁建模浮于表面，难以跟踪和验证安全需求的落实情况；同时，传统人工威胁建模的知识库维护工作十分繁琐，常出现更新不及时、展示不清晰的情况。

简而言之，目前的威胁建模过于依赖开发安全人员的经验和能力，其效果不能得到有效保障，为了跟上现今互联网业务的迭代速度，提高开发安全效率迫在眉睫，各行业都需要更加便捷、智能和自动化的威胁建模，以此打破当前障碍重重的局面。

应对：雳鉴威胁建模带你走出困境

针对企业系统庞杂、安全人员紧缺、业务迭代速度快、安全工作易被边缘化的困境，默安科技提供了完善的安全解决方案。雳鉴STAC威胁建模分析系统是默安科技自主知识产权的安全产品，在设计之初就为客户考虑安全问题，为软件植入先天安全基因。本次新版本的发布，更是做到了安全需求与IT团队工作的深度融合，全流程、零门槛地实现研发能力的安全赋能及升级，以最小成本解决安全风险。

新版本“秀”点一

AI智能解析需求

默安科技将AI算法（采用双向注意力流网络-BiDAF Network 技术对文档的各层级不同粒度的上下文进行建模）融入到威胁建模，只需一键上传业务功能需求文件，需求文件无需固定模版，兼容中英文，只要是常规docx和xlxs格式的业务需求文件即可。雳鉴STAC威胁建模分析系统内置的AI引擎便能对其进行智能深度解析，挖掘内含高频关键词，并根据解析结果智能匹配调查问卷，自动输出安全需求报告。从此告别繁琐的人工分析、手工输入，实现业务需求到安全需求的快速转化，降低开发安全人员对产品的使用门槛。

场景重现-手机银行版本更新

某行手机银行APP本月将进行一个小版本更新，其中 “信用卡办理”模块进行了推荐办卡和进度查询功能优化。项目经理直接通过雳鉴STAC威胁建模分析系统创建应用，上传“xx银行app7.3.1版本需求列表”，系统随即自动进行智能解析。

图 系统界面-AI引擎自动分析

系统根据上传报告的内容，可自动化分析场景、调查问卷，输出相应的软件威胁模型，将原有的会议沟通、业务需求确认、安全需求分析等过程化繁为简，极大地提升了威胁建模的效率。

图 系统界面-智能生成需求报告

新版本“秀”点二

威胁建模与IAST无缝联动

威胁建模输出的分析报告能详细说明安全需求情况，并提供安全设计实践方案和具体的安全测试验证方法，但是目前企业目前进行的安全需求评审、威胁建模等活动，往往存在难落地、难闭环、难验证等问题，导致安全需求或设计提出后，浮于表面，在项目后期的测试阶段难以验证是否实现。

威胁建模作为开发安全前期极其重要的一环，仅仅提供开发安全相关建议和方法是不够的，还需要和后续的安全检测工具进行联动，将理论与实践相结合，保障开发安全体系流程落地。

雳鉴STAC威胁建模分析系统能够基于自身所输出的威胁项，去关联IAST交互式应用安全检测系统中的安全验证测试能力，通过“一键自动化验证“功能，自动联动IAST交互式应用安全检测系统进行安全需求、安全设计的自动化测试与验证，并最终输出每个安全需求与安全设计是否实现，哪些遗漏、哪些不合格的结果，协助开发安全人员检验威胁建模的安全设计是否真实落地。

图 系统界面- 自动化测试与验证结果

此外，系统还能发现威胁建模中遗漏的安全问题，将其反哺、更新到知识库中，使知识库更贴合业务场景，实现安全需求闭环管理，帮助客户完善开发安全流程，减少测试阶段的安全风险，提升整体开发安全流程的效率。

结语

● ●

左移开发安全是默安科技专注的重要领域之一，当前公司已为运营商、金融、能源、IT、智能制造等多个行业的客户提供领先的“一站式”全流程解决方案。随着雳鉴STAC威胁建模分析系统新版本的推出，该解决方案将对业务场景可能面临的威胁进行更智能与有效的安全闭环管理，持续在开发安全领域为客户创造价值。

来源：杭州默安科技