VerSprite推出Fork和Knife：专为现代软件开发速度打造的AI驱动型威胁建模与对抗性测试平台

该一体化平台由以风险为中心的PASTA方法论和二十年的认证攻击性安全经验提供支持，让企业能够在安全冲刺中进行威胁建模，然后通过AI主导、人机协同的测试来验证风险。

基于风险的威胁建模领域的全球领导者、PASTA（攻击模拟与威胁分析流程）方法论的幕后公司VerSprite今日宣布正式推出Fork——一个持续的应用程序威胁建模平台，以及Knife——一个针对Web应用程序和Web API端点的AI主导、人机协同的对抗性测试平台。这两款产品共同将一种新的产品安全模式付诸实践：应用程序在构建过程中就能实现安全设计、持续建模和主动测试。

此次发布解决了一个每位安全领导者都熟知但鲜有工具能解决的问题：威胁建模至关重要，尤其是在AI驱动的时代，但它一直进展缓慢、依赖人工，且固守于为不同威胁环境设计的框架。

问题所在：威胁建模比以往任何时候都更重要——但大多数工具还停留在2005年

二十年来，应用程序威胁建模严重依赖STRIDE——即欺骗、篡改、否认、信息泄露、拒绝服务和权限提升的分类助记符。STRIDE对于将威胁归类很有用，但它从来都不是一种方法论。它不导入实时威胁情报，不权衡业务影响，其静态分类也无法说明定义当今风险的对手行为——如持久性攻击、勒索、双重勒索勒索软件、供应链入侵以及AI赋能应用程序引入的新型攻击面。

结果就是一个熟悉的瓶颈。威胁建模被视为一次性的、文档繁重的工作，在生命周期中出现得太晚，应用程序一旦发生变化就会过时，而且很少与能够实际验证威胁是否真实的测试联系起来。随着组织更快地交付软件并在整个技术栈中采用AI，快速的软件演变与缓慢的建模之间的速度差距已成为一个实质性的风险。

解决方案：以冲刺速度进行以风险为中心的威胁建模

Fork是PASTA的一种实用的、软件驱动的实施方式——PASTA是唯一一种以风险为中心、与业务对齐的威胁建模方法论，由VerSprite创始人兼首席执行官Tony UcedaVelez合著。PASTA的七个阶段从业务目标开始，经过攻击面、应用程序分解、威胁分析、弱点和漏洞分析、攻击建模，最后到风险和影响分析，而不是抽象地对威胁进行分类——因此最终呈现的威胁是最有可能发生且一旦发生便最具破坏性的威胁。

Fork将这种严谨性带入了现代开发的节奏中，使团队能够在不到两小时内生成一个可辩护的、风险优先的威胁模型，并从第一个冲刺开始保持其最新状态。其核心功能包括：

• AI加速的攻击树。Fork的AI功能能够智能地修剪应用程序的攻击树，排除干扰，让分析师专注于可行的、高影响的路径，而不是详尽的理论路径。
• 情境化、威胁知情的模型。Fork利用实时网络威胁情报、产品全技术栈的最新漏洞数据以及通过真实对抗性测试证实的可行攻击向量来丰富每个模型。
• 行业对齐的分类法。该平台自动将发现与受信任的MITRE和OWASP框架相关联——包括CWE、带有EPSS评分的CVE、CAPEC、ATT&CK、D3FEND和ASVS——以推动有针对性的、可辩护的缓解措施。
• 专有的剩余风险公式。随着测试完成和条件变化，Fork重新计算剩余风险，以便领导者始终拥有准确、最新的风险敞口视图。
• 单一管理视图。行业威胁、应用程序的攻击面和威胁情报汇聚成一个统一的协作化视图，供安全、工程、产品和业务利益相关者使用。

从蓝图到验证：介绍Knife

威胁模型定义了哪些攻击路径最重要，Knife则会验证这些路径。

VerSprite正式推出Knife，这是一个针对Web应用程序和Web API端点的AI主导、人机协同的对抗性平台，该平台基于VerSprite的BREAKERS OffSec团队二十多年来经过认证的、行业认可的攻击性安全工作成果进行训练。如果说Fork是对抗性测试的蓝图，那么Knife就是根据该蓝图执行——将AI的规模和速度与专业的人工监督相结合，以真实世界的保真度验证可利用性。

这种集成打通了长久以来将威胁建模与测试相分离的闭环。在Fork威胁模型中，团队可以请求对特定弱点和攻击模式进行有针对性的按需测试。Knife运行评估；结果流回模型；Fork自动更新产品的剩余风险。威胁建模和对抗性测试不再是顺序的、不相关的事件，而成为一个连续的、自我更新的系统。

一种全新的运营模式：AI安全运营

“产品和软件安全的未来是AI安全运营的集成模型——产品在功能构建过程中就被安全地设计和测试，而不是事后修补。STRIDE为行业提供了一套术语。PASTA为其提供了一套方法论。现在Fork和Knife则赋予它运营速度——持续的威胁建模和一体化的AI主导测试，能够跟上软件实际构建的速度和对手实际行为的速度。”

——Tony UcedaVelez，VerSprite首席执行官兼创始人，PASTA方法论合著者

通过深度集成实现运营化可见性

Fork旨在增强而非取代企业已经运行的安全工具。通过与AppSec生态系统的集成——涵盖SAST、DAST和软件组成分析、漏洞扫描、云安全态势、攻击面管理(CASM)、渗透测试平台和IT服务管理——Fork将分散的发现转化为动态的风险图景。已连接和规划中的集成包括ServiceNow、Veracode、Snyk、Semgrep、Checkmarx、OpenCTI、Qualys、Tenable、Mandiant和Archer等。

回报是实时的、运营化的可见性：随着持续和按需测试的完成和反馈，产品的威胁模型和剩余风险会以交付的速度更新——让安全和产品领导者始终了解可能出现什么问题、可能性有多大以及会给业务带来多大损失。

产品供应

Fork即日起可用。免费的Fork社区版支持单个应用程序威胁模型，并通过SBOM或OVAL导入漏洞，而Fork企业版则解锁无限的应用程序和团队、所有集成、SSO、细粒度访问控制和审计日志。Fork Enterprise PT扩展了平台功能，提供由Knife和VerSprite的BREAKERS团队提供支持的按需对抗性测试，可直接从威胁模型中发起测试。VerSprite还为寻求专家主导培训和托管交付的组织提供威胁建模即服务。

如需了解更多信息、请求演示或开始免费使用。

关于VerSprite

VerSprite是一家全球性网络安全公司，专门从事基于风险的威胁建模、攻击性安全和托管安全服务。VerSprite成立于2007年，总部位于佐治亚州亚特兰大，是PASTA（攻击模拟与威胁分析流程）方法论的创始者，并与全球《财富》500强企业和产品组织合作，通过结构化、数据驱动、对手知情的方法降低网络风险。

关于Fork

Fork是VerSprite的持续应用程序威胁建模平台。Fork基于PASTA方法论构建并由AI加速，使安全、工程和产品团队能够在不到两小时内生成以风险为中心的威胁模型，利用实时威胁情报和全栈漏洞数据对其进行情境化，并使其与应用程序的演进方式持续保持一致——现在更通过Knife集成了AI主导的对抗性测试，进一步提升了这一优势。