Termos de Segurança de aplicações

30 terms

• Segurança de aplicações (AppSec)

  Disciplina que projeta, constrói, testa e opera software para que resista a abusos, adulteração e acessos não autorizados ao longo de todo o seu ciclo de vida.

• Ciclo de vida seguro de desenvolvimento (SSDLC)

  Ciclo de desenvolvimento em que as atividades de segurança são incorporadas em cada fase, dos requisitos e design ao código, testes, release e operação.

• DevSecOps

  Cultura e conjunto de práticas que integra responsabilidades de segurança aos fluxos DevOps para entregar software seguro de forma contínua e ágil.

• Shift-Left Security

  Prática de antecipar as atividades de segurança no ciclo de vida do software para encontrar e corrigir vulnerabilidades antes que o código chegue à produção.

• SAST (Static Application Security Testing)

  Análise automatizada de código-fonte, bytecode ou binários — sem executar — para encontrar fraquezas de segurança como injeção, APIs inseguras ou criptografia fraca.

• DAST (Dynamic Application Security Testing)

  Testes de segurança caixa-preta que interagem com a aplicação em execução pela rede para descobrir vulnerabilidades visíveis apenas em tempo de execução.

• IAST (Interactive Application Security Testing)

  Teste de segurança que instrumenta a aplicação em execução por dentro para observar o código em tempo real enquanto é exercitado por tráfego ou testes.

• SCA (Software Composition Analysis)

  Análise automatizada dos componentes open source e de terceiros da aplicação para identificar vulnerabilidades conhecidas, problemas de licença e dependências desatualizadas ou arriscadas.

• RASP (Runtime Application Self-Protection)

  Defesa embutida dentro de uma aplicação em execução que monitora o contexto de execução e bloqueia, em tempo real, comportamentos maliciosos como injeção ou desserialização insegura.

• Fuzz testing

  Técnica de testes automatizados que submete um programa a grandes volumes de entradas malformadas, aleatórias ou inesperadas para revelar crashes, corrupção de memória e vulnerabilidades.

• Fuzzing por mutação

  Estratégia de fuzzing que cria novas entradas de teste mutando aleatoriamente amostras válidas — bit flips, inserção de bytes, splice de arquivos.

• Fuzzing guiado por cobertura

  Técnica de fuzzing que instrumenta o alvo para medir cobertura de código e evolui entradas que exploram caminhos novos, aumentando muito a eficácia.

• Execução simbólica

  Técnica de análise de programas que executa o código com entradas simbólicas em vez de valores concretos, criando restrições de caminho resolvidas por um solver SMT.

• Modelagem de ameaças

  Análise estruturada que identifica os ativos, ameaças, vulnerabilidades e mitigações de um sistema para integrar a segurança desde o desenho.

• Abuse Case

  Abuse Case — definition coming soon.

• Misuse Case

  Misuse Case — definition coming soon.

• Security Requirements

  Security Requirements — definition coming soon.

• Secure Coding

  Secure Coding — definition coming soon.

• Input Validation

  Input Validation — definition coming soon.

• Output Encoding

  Output Encoding — definition coming soon.

• Parameterized Query

  Parameterized Query — definition coming soon.

• Content Security Policy (CSP)

  Content Security Policy (CSP) — definition coming soon.

• Subresource Integrity (SRI)

  Subresource Integrity (SRI) — definition coming soon.

• HTTP Security Headers

  HTTP Security Headers — definition coming soon.

• CORS (Cross-Origin Resource Sharing)

  CORS (Cross-Origin Resource Sharing) — definition coming soon.

• SameSite Cookie

  SameSite Cookie — definition coming soon.

• Secure Cookie Flag

  Secure Cookie Flag — definition coming soon.

• HttpOnly Cookie Flag

  HttpOnly Cookie Flag — definition coming soon.

• Session Fixation

  Session Fixation — definition coming soon.

• API Security

  API Security — definition coming soon.