9.2.2  威胁建模的对象

威胁建模的目的是发现系统中潜在的安全威胁、明确风险并采取相应的措施。很明显，威胁建模的对象就是即将开发的应用程序。

在实际工作中，大型的软件产品通常由较小的模块组成，而且对较小的模块进行威胁建模相对容易一些。然而，一旦系统基本建成，这种方法也会对系统造成威胁。毕竟，一个系统即使在微观层面表现得非常安全，如果对于其他模块的安全保护不到位，那么在两个模块交互时也会导致不安全的情况发生。

因此，在威胁建模之初就应该考虑系统的可信任边界，并且对边界范围内的所有模块进行建模。然后再关注一下边界之外是否还有系统的必要组成部分，如果没有，那么就确定了威胁建模对象。