应用安全 术语
30 terms
应用安全(AppSec)
一门围绕软件全生命周期开展的学科,通过设计、构建、测试与运营,使软件能够抵御滥用、篡改和未授权访问。
安全软件开发生命周期(SSDLC)
将安全活动嵌入软件交付各阶段(需求、设计、编码、测试、发布与运维)的开发生命周期。
DevSecOps
一种将安全责任融入 DevOps 流程的文化与实践,使团队能够持续、高效地交付安全的软件。
安全左移(Shift-Left Security)
把安全活动前移至软件生命周期的早期阶段,使漏洞在进入生产前就被发现并修复的实践。
SAST(静态应用安全测试)
在不执行代码的前提下,对源代码、字节码或二进制进行自动化分析,以发现注入、不安全 API 或弱加密等安全缺陷。
DAST(动态应用安全测试)
对运行中的应用进行黑盒安全测试,通过网络发送请求并观察响应,以发现仅在运行时才暴露的注入、认证缺陷与配置问题。
IAST(交互式应用安全测试)
通过在应用内部植入探针,在测试或流量驱动下实时观察代码执行,从而进行安全测试的方法。
SCA(软件成分分析)
对应用使用的开源与第三方组件进行自动化分析,识别已知漏洞、许可证风险以及过时或高风险依赖。
RASP(运行时应用自保护)
嵌入到运行中应用程序内部的防御机制,实时监视执行上下文并阻断注入、反序列化攻击等恶意行为。
模糊测试
通过向程序输入大量畸形、随机或未预期的数据,自动发现崩溃、内存破坏与安全漏洞的测试技术。
变异模糊测试
通过对现有合法样本进行随机变异(翻转比特、插入字节、文件拼接等)来生成新测试输入的模糊测试策略。
覆盖率引导模糊测试
通过插桩目标程序、测量代码覆盖率,并演化能够触达新路径的输入,从而显著提升缺陷发现效率的模糊测试技术。
符号执行
一种程序分析技术,使用符号输入而非具体值执行代码,通过 SMT 求解器求解路径约束以发现缺陷。
威胁建模
一种结构化分析方法,识别系统的资产、威胁、漏洞与缓解措施,从而在设计阶段构建安全,而不是事后弥补。
Abuse Case
Abuse Case — definition coming soon.
Misuse Case
Misuse Case — definition coming soon.
Security Requirements
Security Requirements — definition coming soon.
Secure Coding
Secure Coding — definition coming soon.
Input Validation
Input Validation — definition coming soon.
Output Encoding
Output Encoding — definition coming soon.
Parameterized Query
Parameterized Query — definition coming soon.
Content Security Policy (CSP)
Content Security Policy (CSP) — definition coming soon.
Subresource Integrity (SRI)
Subresource Integrity (SRI) — definition coming soon.
HTTP Security Headers
HTTP Security Headers — definition coming soon.
CORS (Cross-Origin Resource Sharing)
CORS (Cross-Origin Resource Sharing) — definition coming soon.
SameSite Cookie
SameSite Cookie — definition coming soon.
Secure Cookie Flag
Secure Cookie Flag — definition coming soon.
HttpOnly Cookie Flag
HttpOnly Cookie Flag — definition coming soon.
Session Fixation
Session Fixation — definition coming soon.
API Security
API Security — definition coming soon.