威胁建模宣言

威胁建模正在分析系统的表示形式，以突出显示对安全性和隐私特征的关注。

当执行威胁建模时，您开始认识到系统中可能出什么问题。它还使您可以查明需要缓解的设计和实现问题，无论是在系统的早期还是整个生命周期中。威胁模型的输出（称为威胁）将告知您可能在后续设计，开发，测试和部署后阶段中做出的决策。

您。大家。任何关心其系统的隐私，安全性和安全性的人。

使用宣言作为指导，以开发或完善最适合您需求的方法。我们相信，遵循宣言中的指导将导致更有效，更高效的威胁建模。反过来，这将帮助您成功开发更安全的应用程序，系统和组织，并保护它们免受对您的数据和服务的威胁。宣言包含想法，但不是方法，并且与方法无关。

威胁建模宣言采用了与敏捷宣言类似的格式，它确定了以下两个准则：

价值：威胁建模中的价值具有相对价值，优点或重要性。也就是说，尽管右侧的项目有价值，但我们更重视左侧的项目。

原则：原则描述了威胁建模的基本原理。共有三种类型的原则：（i）能够成功进行威胁建模的基本，主要或一般事实，（ii）强烈建议使用的模式，以及（iii）应避免的反模式。

威胁建模的最佳用途是通过早期和频繁的分析来提高系统的安全性和隐私性。

威胁建模必须与组织的开发实践保持一致，并遵循迭代中的设计更改，每个迭代的范围仅限于系统的可管理部分。

对话是建立可带来价值的共识的关键，而文档则记录了这些共识并可以进行评估。

使用可提高生产率，增强工作流程，实现可重复性并提供可测量性的工具来支持您的方法。

使用成功的，经过现场测试的，符合当地需求的技术，这些技术会根据对这些技术的优势和局限性的最新思考而得到借鉴。

威胁建模不依赖于人的先天能力或独特的思维方式；每个人都可以并且应该这样做。

不要忽视全局，因为模型的各个部分可能是相互依赖的。避免过分注意对手，资产或技术。

最好创建多个威胁建模表示，因为没有单一的理想视图，并且其他表示可能会阐明不同的问题。

我们制定《威胁建模宣言》的目的是，以一种可以告知，教育和启发其他从业者采用威胁建模的方式，分享我们集体威胁建模知识的精简版本，并在开发过程中提高安全性和隐私性。

我们在思考，执行，教学和发展威胁建模实践方面积累了多年的经验，从而开发了该宣言。我们拥有行业专家，学者，作者，动手专家和演示者的不同背景。我们汇集了有关威胁建模的各种观点。我们正在进行的对话，重点关注导致威胁建模取得最佳结果的条件和方法，以及当我们失败时如何进行纠正，这些对话继续在塑造我们的想法。

我们提供了宣言的PDF版本，并且该网站也易于打印。