应用安全评估的流程

应用安全评估是一个系统的过程，主要包括以下几个步骤：

1. 识别安全目标

- 确定系统业务目标和安全目标，这些目标应该是清晰的，以便于指导威胁建模活动，并确定后续步骤的工作量。

2. 了解应用系统概况

- 逐条列出应用程序的重要特征和参与者，这有助于在步骤4中确定相关威胁。

3. 应用系统分解

- 全面了解应用程序的结构可以更轻松地发现更相关、更具体的威胁。

4. 应用系统的弱点分析

- 查看应用程序的各层以确定与威胁有关的弱点。

5. 应用系统概述

- 画出端对端的部署方案，确定主要使用方案，确定技术，确定应用程序的安全机制。

6. 威胁建模活动

- 威胁建模活动的输出结果是一个威胁模型，这个模型捕获的主要项目包括威胁列表和漏洞列表。

以上就是应用安全评估的一般流程。需要注意的是，虽然这些步骤都很有用，但并不是必需的，最重要的一步是一定要了解应用程序的主要功能和体系结构。