威脅建?？梢裕?/p>

◇形成組織的應(yīng)用設(shè)計(jì)，滿足安全目標(biāo)。

◇幫助制定衡量安全目標(biāo)的工程決策與其他設(shè)計(jì)目標(biāo)。

◇通過消除常見漏洞，解決和提高工程質(zhì)量。

◇通過實(shí)施必要和有效的對(duì)策，提高服務(wù)質(zhì)量。

◇降低開發(fā)和運(yùn)營(yíng)過程中出現(xiàn)的安全問題的風(fēng)險(xiǎn)。

威脅建模從應(yīng)用程序生命周期的架構(gòu)和設(shè)計(jì)階段開始，它是以組織的安全目標(biāo)進(jìn)行的。 組織的安全目標(biāo)是業(yè)務(wù)目標(biāo)的關(guān)鍵部分，它們用于確定威脅建模活動(dòng)的程度以及花費(fèi)努力的多少。

隨著生命周期的進(jìn)行和組織設(shè)計(jì)與開發(fā)的發(fā)展，將進(jìn)一步向威脅模型添加更多細(xì)節(jié)。威脅建模是迭代的，需要重復(fù)以下過程：

當(dāng)了解到有新的環(huán)境現(xiàn)實(shí)時(shí)，增加模型的細(xì)節(jié)。

開發(fā)過程中，增加模型的細(xì)節(jié)，因?yàn)樵O(shè)計(jì)和實(shí)施決策揭示了新的事實(shí)。

隨著應(yīng)用程序的新用途和配置的出現(xiàn)，添加細(xì)節(jié)。這是在應(yīng)用程序的使用壽命期間，包括應(yīng)用程序在生產(chǎn)之后由運(yùn)營(yíng)團(tuán)隊(duì)維護(hù)。

將信息添加到模型中，因?yàn)樗捎糜诶^續(xù)識(shí)別現(xiàn)在了解的內(nèi)容以及下一步需要了解的內(nèi)容。