fly-appa-fly
commented
6 years ago LINDDUN: a privacy threat analysis framework.
Назва LINDDUN згідно з цією статтею, як не дивно, є абревіатурою 7 типів загроз, які розглядаються методологією: Linkability; Identifiability; Non-repudiation; Detectability; Information Disclosure; Content Unawareness; Policy and consent Noncompliance
Навести приклади класифікацій атак, чи моделей загроз, чи методологій аналізу безпеки застосувань, чи інших подібних більш-менш формальних підходів до безпеки.
Такі підходи дозволяють впорядкувати зусилля з реалізації та перевірки безпеки, приймати рішення щодо trade-offs між безпекою та іншими вимогами, ну і просто не забувати якісь базові атаки. Ці підходи можуть базуватись на списках атак, скажімо OWASP Top 10 чи CWE/SANS Top 25 і якось їх впорядковувати, або підходити з іншої сторони, наприклад описувати основні компоненти системи і їх захист, або етапи життєвого циклу проектів, або ще щось.
На слайді 28 згадувались деякі приклади, зокрема, STRIDE та DREAD – можна наводити інші подібні підходи, і не обов'язково з такими ж страшними абревіатурами :)