10.5 小结

本章介绍了Web应用安全的全知识(或称“白盒法”)分析。我们描述了全知识分析的关键组成部分,包括威胁建模、代码评审和安全测试。我们强调了威胁建模的重要性及其对后续安全活动如代码评审和安全测试的影响。最后,我们演示了精明的组织如何将全知识分析的这些组成部分编排为一种Web应用安全开发方法,这种方法被称做安全开发生命期(SDL)。