《威胁建模：设计和交付更安全的软件》——第二部分 发 现 威 胁

本节书摘来自华章计算机《威胁建模：设计和交付更安全的软件》一书中的第二部分,作者：［美］ 亚当·斯塔克 更多章节内容可以访问云栖社区“华章计算机”公众号查看。

第二部分 Part 2 发 现 威 胁 第3章 STRIDE方法 第4章 攻击树 第5章 攻击库 第6章 隐私工具

威胁建模的核心是威胁。
发现威胁有多种方法，这些方法就是第二部分的主要内容。每种威胁发现方法都各有优缺点，不同情况下可以使用不同的方法。本部分介绍的每种方法都可以看作一个乐高积木，在四步框架的第二步中，你可以用一种方法替代另一种方法。
威胁建模方法与其他建模方法最大的不同是，它关注哪些方面可能出现安全问题。本部分中提供的模型，通过将威胁抽象化，来进一步帮助你思考这些安全问题。模型（例如攻击库）越具体，对刚开始学习威胁建模的人越有帮助（也就是说没有那么多自由发挥的空间）。随着你的经验越来越丰富，类似STRIDE这样结构化程度较低的建模方法就会更有用。
在第二部分中，你将学到以下寻找威胁的方法。

第3章介绍在第1章中提到的助记符STRIDE方法及其变形。 第4章介绍的攻击树有助于梳理系统可能受到的攻击，也可以帮助人们以结构化方法思考威胁。这两种情况都会在这章介绍。 第5章介绍的攻击库是为追踪威胁和整理威胁信息而构建。对安全或威胁建模方面的新手来说非常有用。 第6章介绍了一些寻找隐私威胁的工具集。

第二部分介绍的是四步框架中的第二个问题：哪里可能出错？所以在开始阅读本部分前，你可能需要回忆一下第一部分内容，首先，你应该有一个范围的概念：在何处寻找威胁？图表可以帮助你确定威胁建模的范围，例如第一部分提到的数据流图表，这是威胁建模最佳的输入条件。不过，在讨论威胁的时候，你可能会发现图表内容有欠缺，所以在开始寻找威胁之前没必要“完善”图表。

如何使用海关数据准确开发到客户 海关数据其实一直是外贸应用中最广泛的开发渠道，而且特别利好初学者，是企业开发新客户、监控同行、维护老客户以及决策参考的商战利器。当然，想通过海关数据精确找到客户，需要熟悉以下操作技巧。
量化交易机器人系统丨量化交易机器人系统开发（策略及详情）丨量化交易机器人开发源码部署 量化交易也是一种交易。狭义上的量化交易指将交易条件转化为程序，并自动下单；广义的量化交易是系统交易方式，是一种综合交易系统，根据一系列交易条件，智能决策系统，将丰富的经验与交易条件想结合，管理交易过程中的风险控制。
量化交易机器人系统开发实现技术策略及分析丨量化交易机器人开发源码部署案例 量化交易是一种市场策略，它依靠数学和统计模型来识别并执行机会。这些模型由定量分析驱动，这就是该策略的名称。它通常也被称为“定量交易”，有时也称为“定价”。
六顶思考帽沟通术的五大步骤 凡是咨询界和培训界的朋友，我想对六顶思考帽应该都不陌生。从六帽的问世运用至今，大家对六顶思考帽的运用主要体现在会议管理，和员工创造力，本文将开启六顶思考帽的另一项重要功能——超级六帽沟通术，旨在探求一种可以广为使用的沟通技巧。