Practices and challenges of threat modelling in agile environments

Q4 Computer Science

Informatik-Spektrum Pub Date : 2023-08-01 DOI:10.1007/s00287-023-01549-5

Paul Theurich, Josepha Witt, Sebastian Richter

引用次数: 0

Abstract

Abstract Facing the increasing annual cybersecurity costs, threat modelling (TM) is a method to consider security as early as possible in the software development life cycle (SDLC). Thereby, TM helps to identify and address security-related design flaws in information systems. As the original TM approach is based on sequential development, it is not aligned with today’s predominantly agile environments. This results in several challenges. However, TM’s implementation in an agile development approach lacks the recommendations on how to tackle these challenges. Therefore, we assess the state-of-the-art of TM challenges and practices in agile environments by conducting a literature review covering 220 papers. Thereby, we identify nine categories of challenges and six categories of practices. We propose a valuable artefact for practitioners by mapping challenges and practices to the agile SDLC and by creating a matrix highlighting how the practices address the challenges of TM in an agile environment.

Abstract Image

查看原文本刊更多论文

敏捷环境中威胁建模的实践和挑战

面对每年不断增加的网络安全成本，威胁建模(TM)是在软件开发生命周期(SDLC)中尽早考虑安全的一种方法。因此，TM有助于识别和处理信息系统中与安全相关的设计缺陷。由于最初的TM方法是基于顺序开发的，因此它与当今占主导地位的敏捷环境不一致。这就带来了一些挑战。然而，TM在敏捷开发方法中的实现缺乏关于如何应对这些挑战的建议。因此，我们通过进行涵盖220篇论文的文献综述来评估敏捷环境中TM挑战和实践的最新进展。因此，我们确定了九类挑战和六类实践。通过将挑战和实践映射到敏捷SDLC，并通过创建一个矩阵来突出实践如何在敏捷环境中解决TM的挑战，我们为从业者提出了一个有价值的工件。

本文章由计算机程序翻译，如有差异，请以英文原文为准。

求助全文

约1分钟内获得全文求助全文

来源期刊

Informatik-Spektrum Computer Science-Computer Science Applications

CiteScore

1.10

自引率

0.00%

发文量

期刊介绍： Im Informatik Spektrum finden Sie aktuelle, praktisch verwertbare Informationen über technische und wissenschaftliche Trends und Entwicklungen aus allen Bereichen der Informatik. Die Zeitschrift enthält Übersichtsartikel und einführende Darstellungen sowie Berichte über Projekte und Fallstudien aus der Praxis. Interviews, Kolumnen und Buchrezensionen runden das Angebot ab.Bilden Sie sich weiter, erschließen Sie sich neue Sachgebiete oder verschaffen Sie sich einen Überblick. Informatik Spektrum richtet sich neben Informatikspezialisten auch an Praktiker und Studierende, die Interesse an der wissenschaftlichen Entwicklung und praktischen Anwendung der Informatik haben.Möchten Sie zu einem Heft beitragen, richten Sie Ihren Vorschlag gerne an den Chefredakteur Peter Pagel (peter.pagel@springer.com). Willkommen sind Beiträge zum jeweiligen Schwerpunkt ebenso wie Beiträge zum gesamten Themenspektrum der Informatik.