随着计算机和互联网的普及,对软件的安全性和可靠性要求越来越高。安全软件工程通过在软件开发生命周期的各个阶段增加一系列的针对安全的关注和改进,以利于在开发过程中尽可能早地检测并消除安全隐患。威胁建模是安全开发生命周期中最重要的环节之一,其主要任务是帮助分析和设计人员对威胁进行建模和评估。在面向过程的威胁建模方法的基础上,针对面向对象的分析与设计的要求,提出了面向对象的威胁建模方法。给出了带AND/OR节点的威胁树模型的构建过程,设计了计算威胁树攻击路径的算法,制定了一套基于威胁树模型的攻击路径和威胁的评估方案。给出了可扩展的安全软件开发环境的整体架构,为分析、设计、开发、测试和维护人员设计了一套以插件形式集成于Eclipse中的安全软件分析、设计、开发、测试、发布和维护工具。实现了其中的威胁建模工具,该工具使用用例图表示应用程序或系统的概要,使用活动图对应用程序或系统进行分解,获得资产的信息;基于威胁树模型对攻击路径和威胁进行评估,获得威胁和方案的信息;将这些信息以XML文档的形式输出,并由XSL转化为HTML文档,形成可以通过浏览器阅览的设计阶段的安全软件开发文档。在上述工作的基础上,设计了一个在线网上银行的应用案例,通过使用开发的工具对该案例进行威胁建模和分析,表明面向对象的威胁建模方法的正确性及其在设计阶段有效地检测并削除安全隐患的作用,说明该威胁建模工具具有实用性和可靠性。