目錄說白了乙個應用的安全,我們往往其實關注的是**有缺陷,以致各種引起經濟,隱私,資料的損失。
所以其實不管是哪一種已經成形的安全模型其實逃不了以下幾步
拆解應用對於拆解乙個既定的應用程式,什麼才是最重要的,最需要安全保護的呢。風險評級
針對策略或者更新
應該是資料 (data)
黑客們會關注這個程式執行的機理,但本質他們需要獲得的是資料
``` [^foot1]注
### 風險評級
往往很多老闆或者說希望自身軟體的專案leader會非常關注這個問題。不同的安全分析模型中 有不同的方法來評估乙個軟體的安全風險級別。
但大部分的情況下,都可以運用 stride[^stride]注 的模型來對風險先進行分類,這是非常有用的,能夠讓本來**抽象和模糊的**的風險可以按條理和邏輯來處理,之後能用dread[^dread]注模型來對每一種模型來進行值的估計,最後得出整體的安全等級或者說風險等級。而這最後一步使得**風險**變得更加可以估計和比較。並且從乙個複雜的情況變成了數學。便於決策者們在風險和成本之間取捨。
### 針對策略
這個沒什麼可以說的。往往最直觀的便是各個軟體的安全性補丁,或者防禦性軟體(例如防火牆之類)但不得不提的是,往往策略應該和風險的損失呈正比,否則就是得不償失
[^ex1]例
##註腳
[^stride]: 最基本也是最常用的風險分析模型之一 stride 分別代表了其每乙個重要步驟
[^dread]: 和stride同樣的有名的基本模型,可以進行大概的風險的評估並且能給出乙個數值。
[^ex1]: 同1.
mysql核心分析文件 mysql 核心分析
mysql從功能上來講,並不完善,適用於oltp,不適用於olap,在開源資料庫而言,對於重要的資料儲存的話,而是建議採用postgresql 下面把mysql和postgresql從核心級做一些對比分析,找出mysql快,但功能不足的方面.估計要很長時間才能寫完,每天看到哪寫到哪.1.mysql是...
UML核心模型 用例模型
學uml就是為了建模,uml的語法和詞彙已經差不多了解了。所以開始學模型了。用例模型是需求工作的結果,用例模型有業務用例模型,概念用例模型和系統用例模型。他們擁有軟體開發的不同生命週期階段,它們三者是在不同的抽象層次上的,它們之間是一種精化關係。業務用例模型 業務用例模型位於統一過程的先啟階段。從業...
ldm核心驅動模型
linux核心 通過kobject和kset來提供構建層級和維護引用計數的靈活通用服務。在此基礎上建立bus,device,driver抽象模型,用於構造各個子系統,拋棄了原生態的離散的裝置模型。platform 是虛擬子系統,它承載了其他子系統的一些資源,它的platform device集中在a...