Термины: Безопасность приложений

30 terms

• Безопасность приложений (AppSec)

  Дисциплина проектирования, разработки, тестирования и эксплуатации ПО, обеспечивающая его устойчивость к злоупотреблениям, подделке и несанкционированному доступу на протяжении всего жизненного цикла.

• Безопасный жизненный цикл разработки ПО (SSDLC)

  Жизненный цикл разработки, в котором деятельности по безопасности встроены в каждую фазу — от требований и проектирования до кодирования, тестирования, релиза и эксплуатации.

• DevSecOps

  Культура и практики, встраивающие ответственность за безопасность в процессы DevOps, чтобы команды непрерывно и быстро выпускали безопасное ПО.

• Shift-Left Security

  Подход, при котором действия по безопасности перемещаются на более ранние стадии жизненного цикла ПО, чтобы выявлять и исправлять уязвимости до выхода в продакшен.

• SAST (Static Application Security Testing)

  Автоматический анализ исходного кода, байт-кода или бинарных файлов без их выполнения для поиска уязвимостей вроде инъекций, небезопасных API или слабой криптографии.

• DAST (Dynamic Application Security Testing)

  Black-box тестирование безопасности работающего приложения по сети для поиска уязвимостей, проявляющихся только в рантайме: инъекций, ошибок аутентификации и неправильных конфигураций.

• IAST (Interactive Application Security Testing)

  Тестирование безопасности, при котором приложение инструментируется изнутри и наблюдается во время выполнения под трафиком или тестами.

• SCA (Software Composition Analysis)

  Автоматический анализ open-source и сторонних компонентов приложения для выявления известных уязвимостей, лицензионных рисков и устаревших или опасных зависимостей.

• RASP (Runtime Application Self-Protection)

  Защита, встроенная внутрь работающего приложения и в реальном времени блокирующая вредоносные действия — инъекции, небезопасную десериализацию — на основе контекста выполнения.

• Фаззинг

  Автоматизированная техника тестирования, при которой программу обстреливают большим числом некорректных, случайных или неожиданных входов для выявления крэшей, повреждений памяти и уязвимостей.

• Мутационный фаззинг

  Стратегия фаззинга, при которой новые тестовые входы получаются случайной мутацией существующих корректных образцов — инверсия битов, вставка байтов, splice файлов.

• Фаззинг с обратной связью по покрытию

  Техника фаззинга, при которой целевой код инструментируется для измерения покрытия, а входы эволюционируют так, чтобы достигать новых веток, что резко повышает эффективность.

• Символьное выполнение

  Метод анализа программ, при котором код выполняется с символьными входами, а ограничения на путях решаются SMT-решателем для поиска ошибок.

• Моделирование угроз

  Структурированный анализ, выявляющий активы, угрозы, уязвимости и меры защиты системы, чтобы безопасность закладывалась в дизайн, а не добавлялась после.

• Abuse Case

  Abuse Case — definition coming soon.

• Misuse Case

  Misuse Case — definition coming soon.

• Security Requirements

  Security Requirements — definition coming soon.

• Secure Coding

  Secure Coding — definition coming soon.

• Input Validation

  Input Validation — definition coming soon.

• Output Encoding

  Output Encoding — definition coming soon.

• Parameterized Query

  Parameterized Query — definition coming soon.

• Content Security Policy (CSP)

  Content Security Policy (CSP) — definition coming soon.

• Subresource Integrity (SRI)

  Subresource Integrity (SRI) — definition coming soon.

• HTTP Security Headers

  HTTP Security Headers — definition coming soon.

• CORS (Cross-Origin Resource Sharing)

  CORS (Cross-Origin Resource Sharing) — definition coming soon.

• SameSite Cookie

  SameSite Cookie — definition coming soon.

• Secure Cookie Flag

  Secure Cookie Flag — definition coming soon.

• HttpOnly Cookie Flag

  HttpOnly Cookie Flag — definition coming soon.

• Session Fixation

  Session Fixation — definition coming soon.

• API Security

  API Security — definition coming soon.