A
Alert Fatigue
L'affaticamento da allerta è ciò che accade quando i team di sicurezza o operazioni sono sommersi da allerta ogni giorno. Col tempo, le persone si stancano, si stressano e iniziano a ignorarli.
API Security
La sicurezza delle API è il processo di protezione delle API, le parti del software moderno che permettono alle applicazioni di comunicare, da accessi non autorizzati, abusi o attacchi.
API Security Testing
Il Test di Sicurezza delle API individua e corregge vulnerabilità come autenticazione compromessa o perdite di dati nelle API, essenziale per proteggere le app moderne e i dati sensibili.
Application Security
La sicurezza delle applicazioni è la pratica di proteggere il software da vulnerabilità e attacchi durante l'intero ciclo di vita dello sviluppo del software (SDLC). Scopri la sua importanza, le minacce comuni e le pratiche di ciclo di vita per proteggere le applicazioni moderne in ambienti cloud e containerizzati.
Application Security Assessment
Una valutazione della sicurezza delle applicazioni è il processo di identificazione e correzione delle vulnerabilità nel software. Scopri i suoi obiettivi, componenti, strumenti comuni e sfide per proteggere le applicazioni dalle minacce informatiche.
Application Security Life Cycle
Il ciclo di vita della sicurezza delle applicazioni integra la sicurezza in ogni fase dello sviluppo software, dalla pianificazione e progettazione al deployment e alla manutenzione. Scopri le sue fasi, le migliori pratiche e perché è fondamentale per proteggere le applicazioni moderne.
Application Security Posture Management (ASPM)
La gestione della postura di sicurezza delle applicazioni (ASPM) è una piattaforma che offre alle organizzazioni una visibilità e un controllo completi sui rischi di sicurezza delle applicazioni durante l'intero ciclo di vita del software.
Application Security Testing
Il Test di Sicurezza delle Applicazioni (AST) significa controllare le applicazioni per individuare debolezze che gli attaccanti potrebbero sfruttare. I metodi comuni di AST includono SAST, DAST e IAST, che aiutano a mantenere il software sicuro in ogni fase dello sviluppo.
C
CI Gating
CI Gating è un meccanismo automatizzato di "stop-the-line" nella pipeline di sviluppo. Valuta il codice rispetto alle politiche di sicurezza e qualità, bloccando qualsiasi commit che non soddisfi gli standard.
CI/CD Pipeline
Una pipeline CI/CD è un processo automatizzato per portare il codice dal laptop di uno sviluppatore e distribuirlo in sicurezza agli utenti. Compila il codice, lo testa e lo distribuisce senza affidarsi a passaggi manuali.
CI/CD security
La sicurezza CI/CD è il processo di integrazione della sicurezza nella pipeline di Continuous Integration e Continuous Deployment (CI/CD), dal commit al deployment
Cloud Security Posture Management (CSPM)
La gestione della postura di sicurezza del cloud (CSPM) è un metodo e un insieme di strumenti di sicurezza che monitorano continuamente l'ambiente cloud per rilevare e correggere configurazioni errate, violazioni della conformità e rischi di sicurezza su piattaforme cloud come AWS, Azure o Google Cloud.
Cloud-Native Application Protection Platform (CNAPP)
CNAPP (Piattaforma di Protezione delle Applicazioni Cloud-Native) è un modello di sicurezza unificato. Combina la Gestione della Postura di Sicurezza del Cloud (CSPM), la Protezione dei Carichi di Lavoro del Cloud (CWPP), la Gestione delle Autorizzazioni dell'Infrastruttura Cloud (CIEM) e la Gestione della Postura di Sicurezza delle Applicazioni (ASPM).
Common Vulnerabilities and Exposures (CVE)
CVE sta per Common Vulnerabilities and Exposures. È un sistema che tiene traccia delle vulnerabilità informatiche già note al pubblico.
Container Security
La sicurezza dei container è il processo di protezione delle applicazioni containerizzate (in esecuzione su Docker o Kubernetes) durante l'intero ciclo di vita, dalla costruzione all'esecuzione.
CVSS (Common Vulnerability Scoring System)
CVSS è un modo standard per indicare quanto è grave un bug di sicurezza. Assegna a ciascuna vulnerabilità un punteggio da 0 a 10 in modo che i team sappiano cosa correggere per primo.
D
DevSecOps
DevSecOps è un modo di lavorare che aggiunge sicurezza a ogni fase del processo DevOps, a partire dalla codifica e dai test fino alla distribuzione e alla manutenzione
Docker Container
Una semplice spiegazione dei contenitori Docker, come funzionano e perché gli sviluppatori li usano per eseguire le app in modo coerente tra gli ambienti.
Dynamic Application Security Testing (DAST)
Il test di sicurezza delle applicazioni dinamiche, o DAST, è un modo per verificare la sicurezza di un'applicazione mentre è in esecuzione. A differenza di SAST, che esamina il codice sorgente, DAST testa la sicurezza simulando attacchi reali come SQL Injection e Cross-Site Scripting (XSS) in un ambiente live.
I
Infrastructure as Code (IaC) Security
La sicurezza dell'Infrastruttura come Codice (IaC) è il processo di protezione della tua infrastruttura cloud mediante la scansione dei file di configurazione o degli script scritti in linguaggi specifici come Terraform, CloudFormation, Kubernetes YAML, ecc., prima del deployment.
Interactive Application Security Testing (IAST)
Il test di sicurezza delle applicazioni interattivo (IAST) è un metodo che combina SAST (Static Application Security Testing) e DAST (Dynamic Application Security Testing) per trovare vulnerabilità nelle applicazioni in modo più efficace.
M
Malware Detection
Il rilevamento di malware significa trovare e bloccare software dannosi come virus, ransomware, spyware e trojan su sistemi, reti e applicazioni.
Mean Time to Remediation (MTTR)
MTTR è una metrica chiave della cybersecurity che mostra quanto rapidamente si risponde a una minaccia nota
MFA (Multi-Factor Authentication)
L'autenticazione multi-fattore è un metodo di sicurezza che richiede due o più tipi di verifica per accedere a un'applicazione o sistema. L'MFA aggiunge un ulteriore livello di protezione, quindi non ci si affida solo a una password
O
Open Source Audit
L'Audit Open Source è una revisione completa di tutti i componenti open-source utilizzati all'interno di un'applicazione software
OWASP Top 10
L'OWASP Top 10 elenca le vulnerabilità più gravi delle applicazioni web. OWASP offre anche risorse utili affinché sviluppatori e team di sicurezza possano imparare a trovare, correggere e prevenire questi problemi nelle applicazioni odierne.
R
RBAC (Role-Based Access Control)
RBAC è un metodo per gestire la sicurezza del sistema assegnando agli utenti ruoli specifici all'interno di un'organizzazione. Ogni ruolo ha il proprio set di permessi, che decide quali azioni gli utenti in quel ruolo possono eseguire.
Reverse Shell
Una reverse shell è una shell remota in cui il computer della vittima avvia la connessione al computer dell'attaccante.
S
SBOM
SBOM è un inventario dettagliato dei componenti che compongono un software, comprese le librerie di terze parti e open-source, e la versione del framework.
Secret Detection
Il rilevamento dei segreti è il processo di scansione dei codebase, delle pipeline CI/CD e del cloud per identificare segreti esposti come chiavi API, credenziali, chiavi di crittografia o token. Questo è cruciale perché gli aggressori, come i bot di credential-stuffing o i dirottatori di risorse cloud, possono sfruttare questi segreti esposti per ottenere accesso non autorizzato.
Security Remediation
La remediation significa correggere o rimuovere le debolezze nei sistemi di un'organizzazione per renderli sicuri e ridurre il rischio.
Shift Left Security
Software Composition Analysis (SCA)
L'Analisi della Composizione del Software (SCA) è un processo di sicurezza che identifica e gestisce i rischi nelle librerie di terze parti utilizzate all'interno delle applicazioni
Software Development Life Cycle (SDLC)
Il ciclo di vita dello sviluppo software, o SDLC, è un processo che aiuta i team di sviluppo a pianificare, progettare, costruire, testare e lanciare applicazioni in modo organizzato.
Software Supply Chain Security
La sicurezza della catena di fornitura del software riguarda la protezione di ogni parte, processo e strumento durante lo sviluppo del software, dalla prima riga di codice al rilascio finale.
SQL Injection (SQLi)
L'SQL Injection (SQLi) è un tipo di attacco in cui gli aggressori inseriscono istruzioni SQL dannose in un campo di input per manipolare il database.
SSDLC
L'SSDLC (Secure Software Development Life Cycle) è un'estensione del tradizionale SDLC che incorpora pratiche di sicurezza in ogni fase dello sviluppo software—progettazione, codifica, test, distribuzione e manutenzione. Il suo obiettivo è identificare e affrontare le vulnerabilità precocemente, riducendo costose correzioni e garantendo applicazioni più sicure.
Static Application Security Testing (SAST)
SAST è un tipo di test di sicurezza delle applicazioni che verifica il codice sorgente di un'applicazione (il codice originale scritto dagli sviluppatori), le dipendenze (librerie o pacchetti esterni su cui il codice si basa) o i binari (codice compilato pronto per l'esecuzione) prima che venga eseguito.
Z
Zero Trust
Zero Trust è un concetto di cybersecurity che presuppone che nessun dispositivo, utente o applicazione debba essere considerato affidabile, anche se all'interno del perimetro della rete. L'accesso è concesso solo dopo la verifica dello stato del dispositivo, dell'identità e del contesto.
Zero-Day Vulnerability
Una vulnerabilità Zero-Day è un difetto di sicurezza del software che il fornitore o sviluppatore ha appena scoperto, quindi non ha avuto tempo di creare o rilasciare una patch. Poiché non esiste ancora una soluzione, i criminali informatici possono sfruttare questi difetti per lanciare attacchi difficili da individuare e fermare.