威胁模型市场的推出

关键要点

ThreatModeler在星期四推出了威胁模型市场，这是一个网络安全资产市场，将为开发者提供预构建的、经过现场测试的威胁模型供下载，以支持持续的威胁建模工作和帮助安全团队应对合规性。

该公司表示计划在最初的90天内免费提供此服务。开发团队可以使用此服务，帮助在所有主要云环境下抵御威胁，包括AWS，Microsoft Azure和Google Cloud Platform。

ThreatModeler的创始人兼CEO Archie Agarwal表示：“云计算越来越受欢迎，因为开发者可以自助使用如此多的IT资源、CSP管理服务，甚至应用程序。面对此种大变动，安全团队难以跟上预防威胁建模或架构评审的步伐。伴随着ThreatModeler社区及其基于云的威胁模型的推出，安全工程师可以像利用建模的系统一样自助使用这些威胁模型，而不仅仅是图表。这对于持续评估建模系统风险是至关重要的。”

Inversion6的首席信息安全官Craig Burland表示，降低开发者使用威胁建模的门槛是一种明智的策略。他补充道，提供预构建模型以加快分析的速度应该能够引起那些希望快速推进的开发者的共鸣。尽管这一产品提供不会改变云安全的轨迹，但它表明人们对需要解决方案以实现按设计安全和真正的DevSecOps越来越关注。

Burland说道：“威胁建模是评估风险并将安全要求融入开发周期的一种方式。这只是其中之一，但不是唯一的方法。关键在于开发者开始将安全视为工作中的核心要素。编写高效、可重用的代码都是值得称赞的技能，现在是开发社区和产品领导者将编写安全代码作为一种期望的时刻。”

Netenrich的首席威胁猎手John Bambenek提到，安全团队所做的许多决策都是主观的。他表示，我们常常在什么地方花钱、保护什么、如何做到这些方面进行最佳的猜测。

Bambenek指出：“理想情况下，这应该根据经验来指导，然而并不是每个人都能获得经验丰富的指导。这项努力至少可以让组织开始理解其环境中的威胁，以便在有限的时间和资金下做出更好的决策。”