新版微软威胁建模工具 2014 现已发布

通过交流，我发现越来越多的客户将威胁建模做为一种系统化的方法，用以在他们构建和运行的系统中查找设计层面的安全及隐私漏洞。威胁建模还可用来鉴定可降低系统及其所处理数据整体风险的缓解措施。客户一旦试用过威胁建模，便会发现它是风险管理方法的有效辅助方式。

威胁建模在微软的使用时间已超过十年。它是微软安全开发生命周期 (SDL) 设计阶段的重要组成部分。在 2011 年，我们发布了免费的 SDL 威胁建模工具，以便客户和合作伙伴在其软件开发过程中轻松进行威胁建模。该工具广受欢迎，我们收到了许多客户的好评和改善建议。

新版工具现命名为微软威胁建模工具 2014，我们在其中实施了许多改善建议。微软威胁建模工具 2014 的主要新特性包括：

新的绘图页面 — 以前版本的威胁建模工具需通过 Microsoft Visio 来构建数据流图表，而新版工具自带绘图页面，无需再使用 Visio。
按交互作用 STRIDE — 此版本的重大改进之处是威胁生成方式的改变。微软威胁建模工具 2014 使用“按交互作用 STRIDE”的方法生成威胁，而以前版本的工具使用的是“按元素 STRIDE”的方法。
v3 模型迁移 — 更新旧威胁模型比以往更为轻松。您可以将使用威胁建模工具 v3.1.8 构建的威胁模型迁移到微软威胁建模工具 2014 的格式中。
更新威胁定义 — 我们为用户提供更多灵活性，可根据其特定的领域定制工具。用户现在可以使用自己的定义来扩展内置的威胁定义。

请观看此视频了解新版微软威胁建模工具 2014 的操作演示。

[View:https://www.youtube.com/watch?feature=player_embedded&v=G2reie1skGg:0:0]

有关微软威胁建模工具 2014 的新特性和功能的详细信息，请查看 SDL 博客。

您可以在此处免费下载此工具。

Tim Rains
总监
可信赖计算部

Additional resources