Términos de Seguridad de aplicaciones

30 terms

• Seguridad de aplicaciones (AppSec)

  Disciplina que diseña, construye, prueba y opera el software para que resista abusos, manipulación y accesos no autorizados durante todo su ciclo de vida.

• Ciclo de vida seguro de desarrollo (SSDLC)

  Ciclo de desarrollo en el que las actividades de seguridad se integran en cada fase, desde los requisitos y el diseño hasta el código, pruebas, despliegue y operación.

• DevSecOps

  Cultura y conjunto de prácticas que integra las responsabilidades de seguridad en los flujos DevOps para entregar software seguro de forma continua y rápida.

• Shift-Left Security

  Práctica de adelantar las actividades de seguridad en el ciclo de vida del software para detectar y corregir vulnerabilidades antes de llegar a producción.

• SAST (Pruebas estáticas de seguridad de aplicaciones)

  Análisis automatizado de código fuente, bytecode o binarios —sin ejecutarlo— para detectar debilidades de seguridad como inyección, APIs inseguras o criptografía débil.

• DAST (Pruebas dinámicas de seguridad de aplicaciones)

  Pruebas de seguridad de caja negra que interactúan con la aplicación en ejecución por red para detectar vulnerabilidades visibles solo en tiempo de ejecución.

• IAST (Pruebas interactivas de seguridad de aplicaciones)

  Pruebas de seguridad que instrumentan la aplicación desde dentro para observar la ejecución del código mientras es ejercitada por tráfico o tests.

• SCA (Análisis de composición de software)

  Análisis automatizado de los componentes open source y de terceros de una aplicación para identificar vulnerabilidades conocidas, problemas de licencia y dependencias obsoletas o de riesgo.

• RASP (Autoprotección de aplicaciones en tiempo de ejecución)

  Defensa integrada dentro de una aplicación en ejecución que supervisa el contexto y bloquea en tiempo real comportamientos maliciosos como inyección o deserialización insegura.

• Fuzz testing

  Técnica de pruebas automatizadas que bombardea un programa con grandes cantidades de entrada malformada, aleatoria o inesperada para descubrir caídas, corrupción de memoria y vulnerabilidades.

• Fuzzing por mutación

  Estrategia de fuzzing que crea nuevas entradas de prueba mutando aleatoriamente muestras válidas existentes: invirtiendo bits, insertando bytes o combinando archivos.

• Fuzzing guiado por cobertura

  Técnica de fuzzing que instrumenta el objetivo para medir cobertura de código y evoluciona entradas que exploran caminos nuevos, mejorando enormemente la eficacia.

• Ejecución simbólica

  Técnica de análisis de programas que ejecuta el código con entradas simbólicas en vez de valores concretos, construyendo restricciones de ruta resueltas por un solver SMT para encontrar bugs.

• Modelado de amenazas

  Análisis estructurado que identifica activos, amenazas, vulnerabilidades y mitigaciones de un sistema para diseñar la seguridad desde el inicio, no añadirla al final.

• Abuse Case

  Abuse Case — definition coming soon.

• Misuse Case

  Misuse Case — definition coming soon.

• Security Requirements

  Security Requirements — definition coming soon.

• Secure Coding

  Secure Coding — definition coming soon.

• Input Validation

  Input Validation — definition coming soon.

• Output Encoding

  Output Encoding — definition coming soon.

• Parameterized Query

  Parameterized Query — definition coming soon.

• Content Security Policy (CSP)

  Content Security Policy (CSP) — definition coming soon.

• Subresource Integrity (SRI)

  Subresource Integrity (SRI) — definition coming soon.

• HTTP Security Headers

  HTTP Security Headers — definition coming soon.

• CORS (Cross-Origin Resource Sharing)

  CORS (Cross-Origin Resource Sharing) — definition coming soon.

• SameSite Cookie

  SameSite Cookie — definition coming soon.

• Secure Cookie Flag

  Secure Cookie Flag — definition coming soon.

• HttpOnly Cookie Flag

  HttpOnly Cookie Flag — definition coming soon.

• Session Fixation

  Session Fixation — definition coming soon.

• API Security

  API Security — definition coming soon.