Termes de Sécurité applicative
30 terms
Sécurité applicative (AppSec)
Discipline consistant à concevoir, développer, tester et exploiter les logiciels afin qu'ils résistent aux abus, à la falsification et aux accès non autorisés sur tout leur cycle de vie.
Cycle de développement logiciel sécurisé (SSDLC)
Cycle de développement où les activités de sécurité sont intégrées à chaque phase, des exigences à la conception, au code, aux tests, à la livraison et à l'exploitation.
DevSecOps
Culture et pratiques qui intègrent les responsabilités de sécurité dans les flux DevOps afin de livrer en continu et rapidement des logiciels sécurisés.
Sécurité shift-left
Pratique consistant à déplacer les activités de sécurité au plus tôt dans le cycle de vie logiciel afin de détecter et corriger les vulnérabilités avant la production.
SAST (Static Application Security Testing)
Analyse automatisée du code source, du bytecode ou des binaires — sans exécution — pour repérer des faiblesses de sécurité comme l'injection, les API non sûres ou la cryptographie faible.
DAST (Dynamic Application Security Testing)
Tests de sécurité boîte noire qui sollicitent une application en cours d'exécution via le réseau pour détecter des vulnérabilités visibles uniquement à l'exécution.
IAST (Interactive Application Security Testing)
Test de sécurité qui instrumente l'application en cours d'exécution pour observer le code en temps réel pendant qu'il est sollicité par du trafic ou des tests.
SCA (Software Composition Analysis)
Analyse automatisée des composants open source et tiers d'une application pour identifier les vulnérabilités connues, les problèmes de licence et les dépendances obsolètes ou risquées.
RASP (Runtime Application Self-Protection)
Défense intégrée à une application en cours d'exécution qui surveille le contexte d'exécution et bloque en temps réel les comportements malveillants comme l'injection ou la désérialisation non sûre.
Fuzz testing
Technique de test automatisé qui soumet un programme à de grandes quantités d'entrées malformées, aléatoires ou inattendues pour révéler des crashs, des corruptions mémoire et des vulnérabilités.
Fuzzing par mutation
Stratégie de fuzzing qui produit de nouvelles entrées de test en mutant aléatoirement des échantillons valides existants : flip de bits, insertion d'octets, splice de fichiers.
Fuzzing guidé par couverture
Technique de fuzzing qui instrumente la cible pour mesurer la couverture de code et fait évoluer les entrées explorant de nouveaux chemins, augmentant drastiquement l'efficacité.
Exécution symbolique
Technique d'analyse de programme qui exécute le code avec des entrées symboliques au lieu de valeurs concrètes, construisant des contraintes de chemin résolues par un solveur SMT.
Modélisation des menaces
Analyse structurée qui identifie les actifs, menaces, vulnérabilités et contre-mesures d'un système afin d'intégrer la sécurité dès la conception.
Abuse Case
Abuse Case — definition coming soon.
Misuse Case
Misuse Case — definition coming soon.
Security Requirements
Security Requirements — definition coming soon.
Secure Coding
Secure Coding — definition coming soon.
Input Validation
Input Validation — definition coming soon.
Output Encoding
Output Encoding — definition coming soon.
Parameterized Query
Parameterized Query — definition coming soon.
Content Security Policy (CSP)
Content Security Policy (CSP) — definition coming soon.
Subresource Integrity (SRI)
Subresource Integrity (SRI) — definition coming soon.
HTTP Security Headers
HTTP Security Headers — definition coming soon.
CORS (Cross-Origin Resource Sharing)
CORS (Cross-Origin Resource Sharing) — definition coming soon.
SameSite Cookie
SameSite Cookie — definition coming soon.
Secure Cookie Flag
Secure Cookie Flag — definition coming soon.
HttpOnly Cookie Flag
HttpOnly Cookie Flag — definition coming soon.
Session Fixation
Session Fixation — definition coming soon.
API Security
API Security — definition coming soon.