首页 时事 民生 政务 教育 文化 科技 财富 体娱 健康 情感
更多
旅行 百科 职场 楼市 企业 乐活 学术 汽车 时尚 创业 美食 幽默 美体 文摘

Threatcl:一款威胁模型记录与归档工具

科技   2025-01-06 19:54   上海  


关于Threatcl


Threatcl是一款功能强大的威胁记录模型,可以帮助广大研究人员更加清楚地记录威胁,并推动安全态势的提升。



威胁模型的记录方式有很多种。从简单的文本文件到更详细的 Word 文档,再到集中式解决方案中完全装备的威胁模型。威胁模型最有价值的两个属性是能够清晰地记录威胁,并能够推动有价值的变革。


功能介绍


Threatcl旨在通过关注以下目标,提供 DevOps 优先的方法来记录系统威胁模型:

1、简单文本文件格式;

2、简单的客户端驱动用户体验;

3、集成到版本控制系统 (VCS);


工具要求


Go


工具安装


由于该工具基于Go开发,因此我们首先需要在本地设备上安装并配置好最新版本的Go环境。


源码获取


广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/threatcl/threatcl.git


然后切换到项目目录中,使用下列命令构建项目代码:

cd threatcl
make bootstrap
make build

发布版本


我们还可以直接访问该项目的Releases页面下载最新版本的Threatcl,并将相关二进制文件移动到PATH下。


Homoebrew安装


brew install threatcl/repo/threatcl


Docker运行


docker run --rm -it ghcr.io/threatcl/threatcl:latest


工具使用


$ threatcl
Usage: threatcl [--version] [--help] <command> [<args>]
 
Available commands are:
    dashboard    从现有的HCL威胁模型文件生成标记文件
    dfd         从现有的HCL威胁模型文件生成数据流图PNG或DOT文件
    export       将威胁模型导出为其他格式
    generate     生成HCL威胁模型
    list         列出HCL文件中发现的威胁模型
    terraform    解析'terraform show-json'的输出
    validate     验证现有的HCL Threatmodel文件
    view        查看现有的HCL Threatmodel文件

hreatcl list和命令threatcl view可用于列出和查看来自threatcl spec HCL 文件中的数据:

$ threatcl list examples/*
#  File              Threatmodel      Author
1  examples/tm1.hcl  Tower of London  @xntrik
2  examples/tm1.hcl  Fort Knox        @xntrik
3  examples/tm2.hcl  Modelly model    @xntrik

验证Threatcl规范 HCL 文件:

$ threatcl validate examples/*
Validated 3 threatmodels in 3 files

该threatcl export命令用于将threatcl威胁模型导出为本机 JSON 表示形式(默认情况下),或导出为OTM JSON 表示形式,甚至导出回hcl:

$ threatcl export -format=otm examples/tm1.hcl
[{"assets":[{"description":"including the imperial state crown","id":"crown-jewels","name":"crown jewels","risk":{"availability":0,"confidentiality":0,"integrity":0}}],"mitigations":[{"attributes":{"implementation_notes":"They are trained to be guards as well","implemented":true},"description":"Lots of guards patrol the area","id":"lots-of-guards","name":"Lots of Guards","riskReduction":80}],"otmVersion":"0.2.0","project":{"attributes":{"initiative_size":"Small","internet_facing":true,"network_segment":"dmz","new_initiative":true},"description":"A historic castle","id":"tower-of-london","name":"Tower of London","owner":"@xntrik"},"threats":[{"categories":["Confidentiality"],"description":"Someone who isn't the Queen steals the crown","id":"threat-1","name":"Threat 1","risk":{"impact":0,"likelihood":null}}]},{"assets":[{"description":"Lots of gold","id":"gold","name":"Gold","risk":{"availability":0,"confidentiality":0,"integrity":0}}],"mitigations":[{"attributes":{"implemented":true},"description":"A large wall surrounds the fort","id":"big-wall","name":"Big Wall","riskReduction":80}],"otmVersion":"0.2.0","project":{"attributes":{"initiative_size":"Small","internet_facing":true,"new_initiative":false},"description":"A .. fort?","id":"fort-knox","name":"Fort Knox","owner":"@xntrik"},"threats":[{"categories":["Confidentiality"],"description":"Someone steals the gold","id":"threat-1","name":"Threat 1","risk":{"impact":0,"likelihood":null}}]}]


threatcl generate命令用于输出通用boilerplate threatcl规范 HCL 文件,或者以交互方式向用户提问,然后输出threatcl规范 HCL 文件:

threatcl generate interactive


将threatclcli 软件和threatcl规范结合起来,从业者可以在 HCL 中定义系统威胁模型,例如:

threatmodel "Tower of London" {
  description = "A historic castle"
  author = "@xntrik"
 
  attributes {
    new_initiative = "true"
    internet_facing = "true"
    initiative_size = "Small"
  }
 
  information_asset "crown jewels" {
    description = "including the imperial state crown"
    information_classification = "Confidential"
  }
 
  usecase {
    description = "The Queen can fetch the crown"
  }
 
  third_party_dependency "community watch" {
    description = "The community watch helps guard the premise"
    uptime_dependency = "degraded"
  }
 
  threat {
    description = "Someone who isn't the Queen steals the crown"
    impacts = ["Confidentiality"]
 
    expanded_control "Guards" {
      description = "Trained guards patrol tower"
      risk_reduction = 75
    }
  }
 
  data_flow_diagram_v2 "dfd name" {
    // ... see below for more information
  }
 
}

工具运行演示



许可证协议


本项目的开发与发布遵循MIT开源许可协议。

项目地址


Threatcl

https://github.com/threatcl/threatcl


FreeBuf粉丝交流群招新啦!
在这里,拓宽网安边界
甲方安全建设干货;
乙方最新技术理念;
全球最新的网络安全资讯;
群内不定期开启各种抽奖活动;
FreeBuf盲盒、大象公仔......
扫码添加小蜜蜂微信回复「加群」,申请加入群聊】
FreeBuf
中国网络安全行业门户
 最新文章
2025年,这些网安“传奇产品”都凉了?
CEO被捕事件后,Telegram与执法部门共享的用户数据激增
知名基因测序仪曝BIOS漏洞,可禁用疾病监测和疫苗开发
Group3r:一款针对活动目录组策略安全的漏洞检测工具
Redis服务器曝2个严重的RCE漏洞,数百万系统面临风险
4年内重复出现3次,AWS屡曝严重RCE漏洞
LegionLoader滥用Chrome扩展传播多种恶意软件
Exegol:一款功能完整的社区驱动型渗透测试工具
电台派“兑”,发图文换Su7车模
知名化工巨头被勒索攻击,泄露761.8GB数据
Threatcl:一款威胁模型记录与归档工具
Windows 曝9.8分漏洞,已有PoC及利用情况
超过300万台未加密的邮件服务器暴露
Exposor:一款基于互联网搜索引擎实现的统一语法网络侦查工具
通过密评需要哪些安全设备?
FreeBuf周报 | 超过300万台未加密的邮件服务器暴露;WPA3协议存在安全漏洞
用户集体起诉Siri“偷听”
Agneyastra:一款Firebase 错误配置检测工具包
准备好了吗?安全运营正式进入AI时代
黑客滥用AWS泄露的信息进行云狩猎
日本最大的移动运营商因DDoS攻击导致服务中断
CEmu:一款轻量级多平台架构汇编训练场
至少35个Chrome扩展被劫持,新细节揭示了黑客的攻击手法
新的“DoubleClickjacking”漏洞可绕过网站的劫持保护
Knock:一款模块化的子域名扫描工具
WPA3协议存在安全漏洞,黑客可获取WiFi密码
老旧D-Link路由器成了僵尸网络的武器
大量Chrome扩展程序遭黑客攻击,60万用户数据危险
SilverSamlForger:一款针对Silver SAML的安全研究工具
CCSIP 2024中国网络安全行业全景册(第七版)发布 | FreeBuf咨询
《银行保险机构数据安全管理办法》发布
pwnobd:一款针对OBD-II设备的漏洞分析与渗透测试工具
跨年首映 |《我的百万网安男友》两集连播
FreeBuf 2025年度线上&线下活动年度企划目录
亚太地区恐在2025年面临更多深度伪造、量子攻击威胁
Brakeman:针对Ruby on Rails应用的静态分析安全漏洞扫描器
Windows Defender成黑客武器,可禁用EDR
曹县黑客2024年“营收”超13亿美元,单笔最高3亿美元
AIL-framework:一款模块化信息泄露安全分析框架
热门npm包被植入加密挖矿软件,感染目标涉及中国
FreeBuf周报 | AI平台1.29T数据库裸奔;9.9分SQL注入漏洞可获admin权限
Palo Alto防火墙存在高危漏洞,触发无需交互和权限
VECTR:一款红蓝队测试活动跟踪与分析评估工具
HACKPROVE DISCORD匿名社区,限时开放!
CSDN挂马事件的安全警醒;平时如何应对钓鱼攻击| FB甲方群话题讨论
SEO 中毒:网络犯罪分子如何将搜索引擎变成陷阱
Blackdagger:一款针对DevSecOps的工作流自动化工具
9.9分的SQL注入漏洞,可获admin权限
特朗普网安政策重大转向:CISA收缩,减少监管
日本航空遭黑客攻击,大量航班延误
 分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
 原创标签
时事 社会 财经 军事 教育 体育 科技 汽车 科学 房产 搞笑 综艺 明星 音乐 动漫 游戏 时尚 健康 旅游 美食 生活 摄影 宠物 职场 育儿 情感 小说 曲艺 文化 历史 三农 文学 娱乐 电影 视频 图片 新闻 宗教 电视剧 纪录片 广告创意 壁纸头像 心灵鸡汤 星座命理 教育培训 艺术文化 金融财经 健康医疗 美妆时尚 餐饮美食 母婴育儿 社会新闻 工业农业 时事政治 星座占卜 幽默笑话 独立短篇 连载作品 文化历史 科技互联网
 发布位置
广东 北京 山东 江苏 河南 浙江 山西 福建 河北 上海 四川 陕西 湖南 安徽 湖北 内蒙古 江西 云南 广西 甘肃 辽宁 黑龙江 贵州 新疆 重庆 吉林 天津 海南 青海 宁夏 西藏 香港 澳门 台湾 美国 加拿大 澳大利亚 日本 新加坡 英国 西班牙 新西兰 韩国 泰国 法国 德国 意大利 缅甸 菲律宾 马来西亚 越南 荷兰 柬埔寨 俄罗斯 巴西 智利 卢森堡 芬兰 瑞典 比利时 瑞士 土耳其 斐济 挪威 朝鲜 尼日利亚 阿根廷 匈牙利 爱尔兰 印度 老挝 葡萄牙 乌克兰 印度尼西亚 哈萨克斯坦 塔吉克斯坦 希腊 南非 蒙古 奥地利 肯尼亚 加纳 丹麦 津巴布韦 埃及 坦桑尼亚 捷克 阿联酋 安哥拉