تیم های توسعه ما در حال کشف کشف تهدید STRIDE هستند، اما یکی از موضوعاتی که باقی مانده است، مربوط به تجزیه تهدید است.
نحوه تحلیل تهدید این است که آن شامل شناسایی تهدیدات قابل اجرا و سپس تعیین نوع حملات (این حملات مانند XSS یا سوء استفاده از جریان کنترل ضعیف طراحی شده) می تواند این تهدیدات را تحقق بخشد.
این تجزیه تهدید پیچیده است، زیرا کیفیت این کار توسط هدف تجزیه و تحلیل، دانش (و حتی چیزی) تعیین می شود به عنوان خلوص نگرشی) گروهی که آنالیز را انجام می دهند، و زمان اختصاص داده شده به این فعالیت است. ما به سرعت "مسائل مربوط به میوه حلق آویز" را تعیین می کنیم، و پس از آن بارها بر روی بردارهای حمله کمتر و کمتر قابل اعتماد تعیین می شود.
روش های قابل قبول برای تعیین شرایط متوقف تجزیه تهدید چیست؟ آیا این یک زمان است؟ سازمانها چگونه این کار را انجام می دهند؟
