logo

Glosariusz

Wzmocnij swoją wiedzę na temat bezpieczeństwa w chmurze. Nasz słownik zapewnia jasne definicje kluczowych terminów CNAPP, postawy bezpieczeństwa i bezpieczeństwa natywnego dla chmury, aby pomóc Ci poruszać się po nowoczesnej ochronie aplikacji.

#

2FA

Uwierzytelnianie dwuskładnikowe (2FA) to metoda zabezpieczeń, która wymaga od użytkowników podania dwóch rodzajów czynników uwierzytelniających w celu potwierdzenia ich tożsamości. Jest uważane za podzbiór MFA, ponieważ MFA (uwierzytelnianie wieloskładnikowe) może obejmować dwa lub więcej czynników weryfikacyjnych, podczas gdy 2FA oznacza dokładnie dwa.

A

Alert Fatigue

Zmęczenie alarmami to sytuacja, gdy zespoły ds. bezpieczeństwa lub operacji są zalewane alertami każdego dnia. Z czasem ludzie stają się zmęczeni, zestresowani i zaczynają je ignorować.

API Security

Bezpieczeństwo API to proces ochrony interfejsów API, części nowoczesnego oprogramowania umożliwiających komunikację aplikacji, przed nieautoryzowanym dostępem, nadużyciami lub atakami.

API Security Testing

Testowanie bezpieczeństwa API wykrywa i naprawia podatności, takie jak złamana autoryzacja lub wycieki danych w API, co jest niezbędne do ochrony nowoczesnych aplikacji i wrażliwych danych.

Application Security

Bezpieczeństwo aplikacji to praktyka ochrony oprogramowania przed podatnościami i atakami na całym SDLC. Dowiedz się, jakie ma znaczenie, jakie są powszechne zagrożenia oraz jakie praktyki stosować w cyklu życia, aby zabezpieczyć nowoczesne aplikacje w środowiskach chmurowych i kontenerowych.

Application Security Assessment

Ocena bezpieczeństwa aplikacji to proces identyfikacji i naprawy luk w oprogramowaniu. Poznaj jej cele, komponenty, powszechne narzędzia i wyzwania, aby chronić aplikacje przed zagrożeniami cybernetycznymi.

Application Security Life Cycle

Cykl życia bezpieczeństwa aplikacji integruje bezpieczeństwo na każdym etapie rozwoju oprogramowania2od planowania i projektowania po wdrożenie i utrzymanie. Poznaj jego etapy, najlepsze praktyki i dlaczego jest kluczowy dla ochrony nowoczesnych aplikacji.

Application Security Posture Management (ASPM)

Zarządzanie Postawą Bezpieczeństwa Aplikacji (ASPM) to platforma, która daje organizacjom pełną widoczność i kontrolę nad ryzykiem bezpieczeństwa aplikacji w całym cyklu życia oprogramowania.

Application Security Testing

Testowanie bezpieczeństwa aplikacji (AST) oznacza sprawdzanie aplikacji pod kątem słabości, które mogą zostać wykorzystane przez atakujących. Do powszechnych metod AST należą SAST, DAST i IAST, które pomagają utrzymać bezpieczeństwo oprogramowania na każdym etapie rozwoju.

C

CI Gating

CI Gating to zautomatyzowany mechanizm „stop-the-line” w procesie rozwoju oprogramowania. Oceni kod pod kątem polityk bezpieczeństwa i jakości, blokując każdy commit, który nie spełnia wymagań

CI/CD Pipeline

Potok CI/CD to zautomatyzowany proces przenoszenia kodu z laptopa dewelopera i bezpiecznego dostarczania go do użytkowników. Buduje kod, testuje go i wdraża bez polegania na ręcznych krokach.

CI/CD security

Bezpieczeństwo CI/CD to proces integracji zabezpieczeń w ciągłym procesie integracji i ciągłym wdrażaniu (CI/CD), od zatwierdzenia do wdrożenia.

Cloud Security Posture Management (CSPM)

Zarządzanie postawą bezpieczeństwa chmury (CSPM) to metoda i zestaw narzędzi bezpieczeństwa, które ciągle monitorują środowisko chmury w celu wykrywania i naprawiania błędnych konfiguracji, naruszeń zgodności oraz ryzyka bezpieczeństwa na platformach chmurowych takich jak AWS, Azure czy Google Cloud.

Cloud-Native Application Protection Platform (CNAPP)

CNAPP (Platforma Ochrony Aplikacji Cloud-Native) to zintegrowany model bezpieczeństwa. Łączy Zarządzanie Postawą Bezpieczeństwa Chmury (CSPM), Ochronę Obciążeń Chmury (CWPP), Zarządzanie Uprawnieniami Infrastruktury Chmury (CIEM) i Zarządzanie Postawą Bezpieczeństwa Aplikacji (ASPM).

Common Vulnerabilities and Exposures (CVE)

CVE to skrót od Common Vulnerabilities and Exposures. Jest to system, który śledzi znane publicznie podatności w zakresie cyberbezpieczeństwa.

Container Security

Bezpieczeństwo kontenerów to proces ochrony aplikacji konteneryzowanych (działających na Dockerze lub Kubernetesie) w całym ich cyklu życia, od budowy po czas działania.

CVSS (Common Vulnerability Scoring System)

CVSS to standardowy sposób określania, jak poważny jest błąd bezpieczeństwa. Każdej podatności przypisuje się ocenę od 0 do 10, aby zespoły wiedziały, co naprawić najpierw.

D

DevSecOps

DevSecOps to sposób pracy, który dodaje bezpieczeństwo na każdym etapie procesu DevOps, zaczynając od kodowania i testowania, a kończąc na wdrażaniu i utrzymaniu.

Docker Container

Proste wyjaśnienie kontenerów Docker, jak działają i dlaczego deweloperzy używają ich do uruchamiania aplikacji w sposób spójny w różnych środowiskach.

Dynamic Application Security Testing (DAST)

Dynamiczne testowanie bezpieczeństwa aplikacji, czyli DAST, to sposób sprawdzania bezpieczeństwa aplikacji podczas jej działania. W przeciwieństwie do SAST, które analizuje kod źródłowy, DAST testuje bezpieczeństwo, symulując rzeczywiste ataki, takie jak SQL Injection i Cross-Site Scripting (XSS) w środowisku na żywo.

E

EPSS Score (Exploit Prediction Scoring System)

System Oceny Przewidywania Eksploatacji (EPSS) to standard oparty na danych, który szacuje prawdopodobieństwo, że konkretna luka w oprogramowaniu zostanie wykorzystana w środowisku naturalnym.

F

False Positives

Fałszywy pozytyw to sytuacja, gdy narzędzie bezpieczeństwa zgłasza problem, który w rzeczywistości nie istnieje.

I

Infrastructure as Code (IaC) Security

Bezpieczeństwo Infrastruktury jako Kod (IaC) to proces zabezpieczania infrastruktury chmurowej poprzez skanowanie plików konfiguracyjnych lub skryptów napisanych w określonych językach, takich jak Terraform, CloudFormation, Kubernetes YAML, itp., przed wdrożeniem.

Interactive Application Security Testing (IAST)

Interactive Application Security Testing (IAST) to metoda łącząca SAST (Statyczne Testowanie Bezpieczeństwa Aplikacji) i DAST (Dynamiczne Testowanie Bezpieczeństwa Aplikacji) w celu skuteczniejszego wykrywania podatności aplikacji.

M

Malware Detection

Wykrywanie złośliwego oprogramowania oznacza odnajdywanie i blokowanie szkodliwego oprogramowania, takiego jak wirusy, ransomware, spyware i trojany na systemach, sieciach i aplikacjach.

Mean Time to Remediation (MTTR)

MTTR to kluczowy wskaźnik cyberbezpieczeństwa pokazujący, jak szybko reagujesz na znane zagrożenie

MFA (Multi-Factor Authentication)

Uwierzytelnianie wieloskładnikowe to metoda zabezpieczeń, która wymaga dwóch lub więcej rodzajów weryfikacji, aby uzyskać dostęp do aplikacji lub systemu. MFA dodaje dodatkową warstwę ochrony, więc nie polegasz tylko na haśle

N

National Vulnerability Database (NVD)

NVD jest głównym światowym repozytorium danych o lukach w zabezpieczeniach, utrzymywanym przez NIST. Wzbogaca identyfikatory CVE o oceny surowości CVSS, klasyfikacje CWE i szczegółowe opisy techniczne.

O

Open Source Audit

Audyt open source to kompleksowy przegląd wszystkich komponentów open source używanych w aplikacji programowej

OWASP Top 10

OWASP Top 10 wymienia najpoważniejsze podatności aplikacji internetowych. OWASP oferuje również pomocne zasoby, dzięki którym deweloperzy i zespoły ds. bezpieczeństwa mogą nauczyć się, jak znaleźć, naprawić i zapobiec tym problemom w dzisiejszych aplikacjach.

P

Phishing

Phishing to rodzaj ataku socjotechnicznego, w którym atakujący podszywają się pod zaufane podmioty, takie jak banki, usługi w chmurze, współpracownicy itp., aby oszukać ofiarę i skłonić ją do ujawnienia poufnych informacji, takich jak hasło, numer karty kredytowej lub inne dane uwierzytelniające.

R

RBAC (Role-Based Access Control)

RBAC to metoda zarządzania bezpieczeństwem systemu poprzez przypisywanie użytkowników do określonych ról w organizacji. Każda rola ma własny zestaw uprawnień, które decydują, jakie działania mogą podejmować użytkownicy w tej roli.

Reverse Shell

Reverse shell to zdalna powłoka, w której komputer ofiary rozpoczyna połączenie z komputerem atakującego.

S

SBOM

SBOM to szczegółowy spis komponentów tworzących oprogramowanie, w tym bibliotek zewnętrznych i open-source oraz wersji frameworków.

Secret Detection

Wykrywanie tajemnic to proces skanowania baz kodu, pipeline'ów CI/CD oraz chmury w celu identyfikacji ujawnionych tajemnic, takich jak klucze API, poświadczenia, klucze szyfrowania czy tokeny. Jest to kluczowe, ponieważ atakujący, tacy jak boty do wypełniania poświadczeń czy porywacze zasobów chmurowych, mogą wykorzystać te ujawnione tajemnice do uzyskania nieautoryzowanego dostępu.

Security Remediation

Naprawa oznacza usuwanie lub poprawianie słabości w systemach organizacji, aby uczynić je bezpiecznymi i zmniejszyć ryzyko.

Shift Left Security

Software Composition Analysis (SCA)

Analiza składu oprogramowania (SCA) to proces bezpieczeństwa, który identyfikuje i zarządza ryzykiem w bibliotekach zewnętrznych używanych w aplikacjach.

Software Development Life Cycle (SDLC)

Cykl życia oprogramowania, czyli SDLC, to proces, który pomaga zespołom deweloperskim w planowaniu, projektowaniu, budowaniu, testowaniu i uruchamianiu aplikacji w zorganizowany sposób.

Software Supply Chain Security

Bezpieczeństwo łańcucha dostaw oprogramowania polega na zabezpieczaniu każdej części, procesu i narzędzia w całym cyklu tworzenia oprogramowania, od pierwszej linii kodu po końcowe wdrożenie.

SQL Injection (SQLi)

SQL Injection (SQLi) to rodzaj ataku, w którym atakujący wprowadza złośliwe polecenie SQL do pola wejściowego, aby manipulować bazą danych.

SSDLC

SSDLC (Secure Software Development Life Cycle) to rozszerzenie tradycyjnego SDLC, które integruje praktyki bezpieczeństwa na każdym etapie rozwoju oprogramowania—projektowanie, kodowanie, testowanie, wdrażanie i utrzymanie. Jego celem jest wczesne identyfikowanie i rozwiązywanie podatności, co zmniejsza koszty napraw i zapewnia bardziej bezpieczne aplikacje.

Static Application Security Testing (SAST)

SAST to rodzaj testowania bezpieczeństwa aplikacji, który sprawdza kod źródłowy aplikacji (oryginalny kod napisany przez programistów), zależności (zewnętrzne biblioteki lub pakiety, na których opiera się kod) lub pliki binarne (skomplikowany kod gotowy do uruchomienia) przed jego uruchomieniem.

X

XSS (Cross-Site Scripting)

Cross-Site Scripting, czyli XSS, to luka bezpieczeństwa w witrynach internetowych, która pozwala atakującym na dodawanie szkodliwych skryptów do stron internetowych. Najczęściej skrypty te są napisane w JavaScript.

Z

Zero Trust

Zero Trust to koncepcja cyberbezpieczeństwa, która zakłada, że żadne urządzenie, użytkownik ani aplikacja nie powinny być zaufane, nawet jeśli znajdują się wewnątrz obwodu sieci. Dostęp jest przyznawany dopiero po weryfikacji stanu urządzenia, tożsamości i kontekstu.

Zero-Day Vulnerability

Luka zero-day to błąd bezpieczeństwa oprogramowania, który został właśnie odkryty przez dostawcę lub dewelopera, więc nie mieli oni czasu na stworzenie lub wydanie poprawki. Ponieważ nie ma jeszcze rozwiązania, cyberprzestępcy mogą wykorzystać te luki do przeprowadzania ataków, które są trudne do wykrycia i zatrzymania.