VerSprite推出Fork和Knife：專為現代軟體發展速度打造的AI驅動型威脅建模與對抗性測試平台

亞特蘭大--(BUSINESS WIRE)--(美國商業資訊)-- 風險基礎威脅建模領域的全球領導者、PASTA（攻擊類比與威脅分析流程）方法論的幕後公司VerSprite今日宣布正式推出Fork (www.forktm.com)——一個持續的應用程式威脅建模平台，以及Knife——一個針對Web應用程式和Web API端點的AI主導、人機協同的對抗性測試平台。這兩款產品共同將一種新的產品資安模式付諸實施：應用程式在建構過程中就能實現資安設計、持續建模和主動測試。

此次發表解決了一個每位資安領導者都熟知但鮮有工具能解決的問題：威脅建模至關重要，尤其是在AI驅動的時代，但它一直進展緩慢、仰賴人工，且固守於為不同威脅環境設計的架構。

問題所在：威脅建模比以往任何時候都更重要——但大多數工具還停留在2005年

二十年來，應用程式威脅建模嚴重仰賴STRIDE——即欺騙、篡改、否認、資訊外洩、拒絕服務和許可權提升的分類助記符。STRIDE對於將威脅歸類很有用，但它從來都不是一種方法論。它不導入即時威脅情報，不權衡業務影響，其靜態分類也無法說明定義當今風險的對手行為——如持久性攻擊、勒索、雙重勒贖型勒索軟體、供應鏈入侵以及AI賦能應用程式引進的新型攻擊面。

結果就是一個熟悉的瓶頸。威脅建模被視為一次性的、文件繁重的工作，在生命週期中出現得太晚，應用程式一旦發生變化就會過時，而且很少與能夠實際驗證威脅是否真實的測試相銜接。隨著企業更快地交付軟體並在整個技術堆疊中採用AI，快速的軟體演變與緩慢的建模之間的速度差距已成為一個實質性的風險。

解決方案：以衝刺速度進行以風險為中心的威脅建模

Fork是PASTA的一種實用的、軟體驅動的實施方式——PASTA是唯一一種以風險為中心、與業務對齊的威脅建模方法論，由VerSprite創辦人兼執行長Tony UcedaVelez合著。PASTA的七個階段從業務目標開始，經過攻擊面、應用程式分解、威脅分析、弱點和漏洞分析、攻擊建模，最後到風險和影響分析，而不是抽象地對威脅進行分類——因此最終呈現的威脅是最有可能發生且一旦發生便最具破壞性的威脅。

Fork將這種嚴謹性帶入了現代開發的節奏中，使團隊能夠在不到兩小時內生成一個可辯護的、風險優先的威脅模型，並從第一個衝刺開始保持其最新狀態。其核心功能包括：

• AI加快的攻擊樹。Fork的AI功能能夠智慧地修剪應用程式的攻擊樹，排除干擾，讓分析師專注於可行的、高影響的路徑，而不是詳盡的理論路徑。
• 情境化、威脅知情的模型。Fork利用即時網路威脅情報、產品全技術堆疊的最新漏洞資料以及透過真實對抗性測試證實的可行攻擊向量來豐富每個模型。
• 產業對齊的分類法。該平台自動將發現與受信任的MITRE和OWASP架構相關聯——包括CWE、帶有EPSS評分的CVE、CAPEC、ATT&CK、D3FEND和ASVS——以推動有針對性的、可辯護的緩解措施。
• 專有的剩餘風險公式。隨著測試完成和條件變化，Fork重新計算剩餘風險，以便領導者始終擁有準確、最新的風險視圖。
• 單一管理視圖。產業威脅、應用程式的攻擊面和威脅情報匯聚成一個統一的合作化視圖，供資安、工程、產品和業務利害關係人使用。

從藍圖到驗證：介紹Knife

威脅模型定義了哪些攻擊路徑最重要，Knife則會驗證這些路徑。

VerSprite正式推出Knife，這是一個針對Web應用程式和Web API端點的AI主導、人機協同的對抗性平台，該平台以VerSprite的BREAKERS OffSec團隊二十多年來經過認證的、受到業界肯定的主動式資安工作成果為基礎進行訓練。如果說Fork是對抗性測試的藍圖，那麼Knife就是根據該藍圖執行——將AI的規模和速度與專業的人工監督相結合，以真實細節的保真度驗證可利用性。

這種整合打通了長久以來將威脅建模與測試相分離的閉迴路。在Fork威脅模型中，團隊可以請求對特定弱點和攻擊模式進行有針對性的按需測試。Knife運行評估；結果流回模型；Fork自動更新產品的剩餘風險。威脅建模和對抗性測試不再是順序的、不相關的事件，而成為一個連續的、自我更新的系統。

一種全新的營運模式：AI資安營運

「產品和軟體資安的未來是AI資安營運的整合模型——產品在功能建構過程中就被安全地設計和測試，而不是事後修補。STRIDE為產業提供了一套術語。PASTA為其提供了一套方法論。現在Fork和Knife則賦予它營運速度——持續的威脅建模和整合式的AI主導測試，能夠跟上軟體實際建構的速度和對手實際行為的速度。」

——Tony UcedaVelez，VerSprite執行長兼創辦人，PASTA方法論合著者

透過深度整合實現營運化可視性

Fork旨在強化而非取代企業已經運行的資安工具。透過與AppSec生態系統的整合——涵蓋SAST、DAST和軟體組成分析、漏洞掃描、雲端資安態勢、攻擊面管理(CASM)、滲透測試平台和IT服務管理——Fork將分散的發現轉化為動態的風險圖景。已開通和規劃中的整合包括ServiceNow、Veracode、Snyk、Semgrep、Checkmarx、OpenCTI、Qualys、Tenable、Mandiant和Archer等。

報酬是即時的、營運化的可視性：隨著持續和按需測試的完成和回饋，產品的威脅模型和剩餘風險會以交付的速度更新——讓資安和產品領導者始終瞭解可能出現什麼問題、可能性有多大以及會給業務帶來多大損失。

產品供應

Fork即日起可用。免費的Fork社群版支援單個應用程式威脅模型，並透過SBOM或OVAL導入漏洞，而Fork企業版則開啟無限的應用程式和團隊、所有整合、SSO、細緻化存取控制和稽核日誌。Fork Enterprise PT擴充了平台功能，提供由Knife和VerSprite的BREAKERS團隊提供支援的按需對抗性測試，可直接從威脅模型中進行請求。VerSprite還為尋求專家主導培訓和代管交付的企業提供威脅建模即服務。

如欲瞭解更多資訊、請求示範或開始免費使用，請造訪www.forktm.com。

關於VerSprite

VerSprite是一家全球性網路資安公司，專門從事風險基礎威脅建模、主動式資安和代管資安服務。VerSprite成立於2007年，總部位於喬治亞州亞特蘭大，是PASTA（攻擊類比與威脅分析流程）方法論的創始者，並與全球《財星》500大企業和產品企業合作，透過結構化、資料驅動、對手知情的方法降低網路風險。如欲瞭解更多資訊，請造訪www.versprite.com。

關於Fork

Fork是VerSprite的持續應用程式威脅建模平台。Fork以PASTA方法論為基礎建構並由AI加速，使資安、工程和產品團隊能夠在不到兩小時內生成以風險為中心的威脅模型，利用即時威脅情報和全堆疊漏洞資料對其進行情境化，並使其與應用程式的演進方式持續保持一致——現在更透過Knife整合了AI主導的對抗性測試，進一步提升了這一優勢。

免責聲明：本公告之原文版本乃官方授權版本。譯文僅供方便瞭解之用，煩請參照原文，原文版本乃唯一具法律效力之版本。