访问官网
Github
文档项目介绍:Threagile
什么是Threagile?
Threagile是一个开源工具包,专为敏捷威胁建模而设计。简单地说,它帮助开发人员和安全团队在开发过程的早期阶段识别和评估潜在的安全风险。这个工具包使用户能够以敏捷的方式,在集成开发环境(IDE)中,通过YAML文件对系统架构及其资产进行建模。
如何使用Threagile?
使用Threagile非常简单。用户只需将在IDE中创建的YAML文件上传至Threagile工具包,运行后,工具会根据内置的标准风险规则(或自定义规则)检查架构模型。通过这种方式,团队可以快速发现潜在的安全威胁,并及时进行处理。
工具功能与配置
Threagile提供了丰富的命令和配置选项,用户可以通过标志和设置来定制工具的功能。此外,考虑到直接编辑YAML文件可能较为困难,Threagile引入了“包含”和“宏”等功能,以简化模型的创建和编辑过程。虽然目前还在努力开发用户界面,但这些功能极大地提高了工具的可用性。
使用Docker容器
用户可以通过Docker容器在命令行上轻松运行Threagile。以下是一些常用的Docker命令示例:
-
创建一个示例模型作为学习起点:
docker run --rm -it -v "$(pwd)":/app/work threagile/threagile --create-example-model --output /app/work -
创建一个最小的模型模板作为自定义使用的基础:
docker run --rm -it -v "$(pwd)":/app/work threagile/threagile --create-stub-model --output /app/work -
在某个端口上以服务器模式运行Threagile(提供REST API):
docker run --rm -it --shm-size=256m -p 8080:8080 --name threagile-server --mount 'type=volume,src=threagile-storage,dst=/data,readonly=false' threagile/threagile -server 8080
版本发布与贡献
Threagile的发布信息可以在其发布页面找到。项目欢迎任何形式的贡献,无论是添加新功能还是修复代码中的bug。对于想要参与贡献的人,请遵循贡献指南,否则可以在GitHub上创建讨论或问题,项目贡献者会尽快响应。
总结
Threagile作为一个敏捷威胁建模工具,为开发和安全团队提供了一种高效的方式来识别和应对系统架构中的潜在安全威胁。通过其灵活的命令配置和Docker支持,Threagile使得安全分析过程更加简便和自动化,适合各种规模的开发团队使用。
