Anwendungssicherheit-Begriffe

30 terms

• Anwendungssicherheit (AppSec)

  Die Disziplin, Software so zu entwerfen, zu entwickeln, zu testen und zu betreiben, dass sie über ihren gesamten Lebenszyklus Missbrauch, Manipulation und unbefugten Zugriff abwehrt.

• Sicherer Software-Entwicklungslebenszyklus (SSDLC)

  Entwicklungslebenszyklus, in den Sicherheitsaktivitäten in jede Phase integriert sind – von Anforderungen und Design über Coding, Tests, Release bis zum Betrieb.

• DevSecOps

  Eine Kultur und Praxis, die Sicherheitsverantwortung in DevOps-Workflows integriert, damit Teams sichere Software kontinuierlich und schnell ausliefern.

• Shift-Left-Security

  Praxis, Sicherheitsaktivitäten früher im Software-Lebenszyklus zu verankern, damit Schwachstellen gefunden und behoben werden, bevor Code in Produktion geht.

• SAST (Static Application Security Testing)

  Automatisierte Analyse von Quellcode, Bytecode oder Binaries – ohne Ausführung – um Sicherheitsschwächen wie Injection, unsichere APIs oder schwache Kryptografie zu finden.

• DAST (Dynamic Application Security Testing)

  Blackbox-Sicherheitstests, die eine laufende Anwendung über das Netzwerk untersuchen, um nur zur Laufzeit sichtbare Schwachstellen wie Injection, Auth-Fehler und Fehlkonfigurationen zu finden.

• IAST (Interactive Application Security Testing)

  Sicherheitstest, der eine laufende Anwendung von innen instrumentiert und in Echtzeit beobachtet, während sie durch Verkehr oder Tests ausgeführt wird.

• SCA (Software Composition Analysis)

  Automatisierte Analyse der Open-Source- und Drittanbieterkomponenten einer Anwendung, um bekannte Schwachstellen, Lizenzprobleme und veraltete oder riskante Abhängigkeiten zu erkennen.

• RASP (Runtime Application Self-Protection)

  Eine in die laufende Anwendung eingebettete Verteidigung, die den Ausführungskontext überwacht und bösartiges Verhalten wie Injection oder unsichere Deserialisierung in Echtzeit blockiert.

• Fuzz-Testing

  Automatisierte Testtechnik, die ein Programm mit großen Mengen fehlerhafter, zufälliger oder unerwarteter Eingaben füttert, um Crashes, Speicherkorruption und Sicherheitslücken aufzudecken.

• Mutations-Fuzzing

  Fuzzing-Strategie, die neue Testeingaben durch zufälliges Mutieren vorhandener gültiger Samples erzeugt – Bitflips, Byte-Einfügungen, Datei-Splices.

• Coverage-Guided Fuzzing

  Fuzzing-Technik, die das Target instrumentiert, um Codeabdeckung zu messen, und gezielt Eingaben weiterentwickelt, die neue Pfade erreichen – mit deutlich höherer Bug-Findequote.

• Symbolische Ausführung

  Programmanalyse-Technik, die Code mit symbolischen Eingaben statt mit konkreten Werten ausführt und Pfadbedingungen aufbaut, die ein SMT-Solver löst, um Bugs zu finden.

• Bedrohungsmodellierung

  Strukturierte Analyse, die Assets, Bedrohungen, Schwachstellen und Gegenmaßnahmen eines Systems identifiziert, damit Sicherheit im Design verankert und nicht nachträglich ergänzt wird.

• Abuse Case

  Abuse Case — definition coming soon.

• Misuse Case

  Misuse Case — definition coming soon.

• Security Requirements

  Security Requirements — definition coming soon.

• Secure Coding

  Secure Coding — definition coming soon.

• Input Validation

  Input Validation — definition coming soon.

• Output Encoding

  Output Encoding — definition coming soon.

• Parameterized Query

  Parameterized Query — definition coming soon.

• Content Security Policy (CSP)

  Content Security Policy (CSP) — definition coming soon.

• Subresource Integrity (SRI)

  Subresource Integrity (SRI) — definition coming soon.

• HTTP Security Headers

  HTTP Security Headers — definition coming soon.

• CORS (Cross-Origin Resource Sharing)

  CORS (Cross-Origin Resource Sharing) — definition coming soon.

• SameSite Cookie

  SameSite Cookie — definition coming soon.

• Secure Cookie Flag

  Secure Cookie Flag — definition coming soon.

• HttpOnly Cookie Flag

  HttpOnly Cookie Flag — definition coming soon.

• Session Fixation

  Session Fixation — definition coming soon.

• API Security

  API Security — definition coming soon.