主要观点：设计系统时应从攻击者角度分析威胁，威胁建模（也叫架构风险分析）是识别和降低风险的安全控制，STRIDE 威胁模型可将威胁分类以便从攻击者角度提出问题。
关键信息：

• 身份欺骗（Spoofing identity）：非法获取并使用他人认证信息，如钓鱼攻击骗用户发送凭证。
• 数据篡改（Tampering with data）：恶意修改数据，包括数据库中持久数据的未授权更改和开放网络中数据的传输更改。
• 抵赖（Repudiation）：用户否认执行某动作且无其他方证明，非抵赖则指系统抵御抵赖威胁的能力，如购买后签名收货。
• 信息披露（Information disclosure）：信息暴露给不应访问的个体，如读取未授权文件或网络中传输数据被嗅探。
• 拒绝服务（Denial of service）：使合法用户无法获得服务，如使 Web 服务器不可用，如系统被请求淹没致服务器故障。
• 权限提升（Elevation of privilege）：未授权用户获得特权访问从而危及或破坏整个系统，如攻击者更改组权限。
  重要细节：文中分别对各威胁类型进行了举例说明，如钓鱼攻击、消息完整性被破坏、非法否认交易、未加密消息被嗅探、系统被请求淹没、攻击者更改组权限等，且提及 OWASP 有更多关于威胁风险建模的内容在[https://www.owasp.org/index.p...]。