Sporadic rant on java, maven, enterprise application integration, patterns, testing, people, legacy, people and so forth. And some cooking.
torsdag 16. februar 2012
Curry tom kha (suppe)
Jeg har prøvd ganske mange ganger å gjenskape den utrolig smaksrike maten fra Thailand, stort sett uten hell. Heller ingen av restaurantene jeg har vært på her i landet klarer dette 100%. Denne suppe-oppskriften er det nærmeste jeg kommer, og sammenliknet med halvfabrikat thaimat er den en smaksbombe. Du er herved advart :)
2 kyllinger, gjerne grillet, renset og klippet i småbiter
1,5 liter kyllingkraft, typisk fra 2-3 skrog
2 løk, hakket
1 pk sjarlottløk, hakket
2 gulrot, revet
1 ss basil stir fry paste
2 ss red curry
2 ss green curry
8 stilker lemongrass, knust
8 fedd hvitløk, hele
1 boks straw mushrooms, delt
10 champignonger
2 knoller galangal
1 knoll ingefær
8 limeblader
1 ss koriander
1 ss tamarind paste
2 lime, saft og revet skall
5 ss fiskesaus
10 små tomater
4 ss brunt sukker
2 bokser kokosmelk 16%
masse fersk koriander
Fremgangsmåte:
- stek løk, gulrot, curry og basil paste
- hell over kraften
- tilsett nesten alt annet
- kokes i en liten time
- kylling, kokosmelk, fersk koriander tilsettes helt til slutt
onsdag 8. februar 2012
Erfaringer med trusselmodellering
Sammendrag av presentasjonen min på Software 2012 - Erfaringer med trusselmodellering.
Trusslemodellering er en plattform for kommunikasjon. Kunden lurer på hvordan problemer er løst, og leverandøren har behov for å forklare det samme, og i tillegg belyse antagelser og konsekvenser av endringer. En slik plattform er nyttig gjennom hele livssyklusen, og kanskje særlig som dokumentasjon av tidligere avgjørelser.
En veldig viktig egenskap ved en trusselmodell, er konsistens mellom opptegning av systemet, og analysen av det. Derfor er det nyttig å bruke et verktøy som besørger denne konsistensen, og synliggjør eventuelle avvik. Truslene kan modelleres med "STRIDE"-prinsippene: spoofing, tampering, repudiation, information disclosure, denial of service og elevation of privilege. Hvert av disse appliseres til de forskjellige delene av systemet, som er modellert med komponenter som dataflyt, prosesser, aktører og datalager.
Gjennom analysen kommer man frem til diverse tiltak som er gjort tidligere. Av og til finner man også mangler. Modellen beskriver hvor inndata kommer fra eksterne aktører. Generelt fins det flere aspekter som kan tas ut som forskjellige rapporter som passer ulike roller, feks arkitekt, funksjonelt ansvarlig, kundens sikkerhetsansvarlig, prosjektleder etc.
Ved å bruke en dedikert applikasjon til trusselmodellering er det også enklere å oppdatere og endre modellen. Mangler og endringer blir svært synlige i analyse-bildet, og lar seg enkelt oppdatere. Dermed er det også enkelt å "holde liv" i modellen.
Dessuten er denne prosessen en veldig nyttig kunnskapsdeling mellom kunde og leverandør. Kunden (eller driftsleverandøren) synliggjør situasjonen i produksjonsmiljøet. Leverandøren viser hvordan løsningen opprinnelig var planlagt. Prosessen fører til en dyptgående modell av den eksisterende situasjonen i produksjon.
Disse erfaringene er basert på bruk av Microsoft SDL Threat Modelling Tool.
Trusslemodellering er en plattform for kommunikasjon. Kunden lurer på hvordan problemer er løst, og leverandøren har behov for å forklare det samme, og i tillegg belyse antagelser og konsekvenser av endringer. En slik plattform er nyttig gjennom hele livssyklusen, og kanskje særlig som dokumentasjon av tidligere avgjørelser.
En veldig viktig egenskap ved en trusselmodell, er konsistens mellom opptegning av systemet, og analysen av det. Derfor er det nyttig å bruke et verktøy som besørger denne konsistensen, og synliggjør eventuelle avvik. Truslene kan modelleres med "STRIDE"-prinsippene: spoofing, tampering, repudiation, information disclosure, denial of service og elevation of privilege. Hvert av disse appliseres til de forskjellige delene av systemet, som er modellert med komponenter som dataflyt, prosesser, aktører og datalager.
Gjennom analysen kommer man frem til diverse tiltak som er gjort tidligere. Av og til finner man også mangler. Modellen beskriver hvor inndata kommer fra eksterne aktører. Generelt fins det flere aspekter som kan tas ut som forskjellige rapporter som passer ulike roller, feks arkitekt, funksjonelt ansvarlig, kundens sikkerhetsansvarlig, prosjektleder etc.
Ved å bruke en dedikert applikasjon til trusselmodellering er det også enklere å oppdatere og endre modellen. Mangler og endringer blir svært synlige i analyse-bildet, og lar seg enkelt oppdatere. Dermed er det også enkelt å "holde liv" i modellen.
Dessuten er denne prosessen en veldig nyttig kunnskapsdeling mellom kunde og leverandør. Kunden (eller driftsleverandøren) synliggjør situasjonen i produksjonsmiljøet. Leverandøren viser hvordan løsningen opprinnelig var planlagt. Prosessen fører til en dyptgående modell av den eksisterende situasjonen i produksjon.
Disse erfaringene er basert på bruk av Microsoft SDL Threat Modelling Tool.
Etiketter:
cx,
security,
sw2012,
trusselmodellering
Abonner på:
Innlegg (Atom)