logo

Glossário

Fortaleça seu conhecimento em segurança na nuvem. Nosso glossário fornece definições claras para termos chave de CNAPP, postura de segurança e segurança nativa da nuvem para ajudá-lo a navegar na proteção de aplicações modernas.

#

2FA

A Autenticação de Dois Fatores (2FA) é um método de segurança que exige que os usuários forneçam dois tipos de fatores de autenticação para confirmar sua identidade. É considerada um subconjunto da MFA, já que a MFA (Autenticação Multifator) pode envolver dois ou mais fatores de verificação, enquanto 2FA significa especificamente exatamente dois.

A

Alert Fatigue

A fadiga de alertas ocorre quando as equipes de segurança ou operações são inundadas com alertas todos os dias. Com o tempo, as pessoas ficam cansadas, estressadas e começam a ignorá-los.

API Security

A segurança de API é o processo de proteger APIs, as partes do software moderno que permitem a comunicação entre aplicações, contra acesso não autorizado, abuso ou ataques.

API Security Testing

O Teste de Segurança de API encontra e corrige vulnerabilidades como autenticação quebrada ou vazamentos de dados em APIs, essencial para proteger aplicativos modernos e dados sensíveis.

Application Security

Segurança de aplicações é a prática de proteger software contra vulnerabilidades e ataques ao longo de todo o SDLC. Aprenda sua importância, ameaças comuns e práticas de ciclo de vida para proteger aplicações modernas em ambientes de nuvem e contêineres.

Application Security Assessment

Uma avaliação de segurança de aplicações é o processo de identificar e corrigir vulnerabilidades em software. Aprenda seus objetivos, componentes, ferramentas comuns e desafios para proteger aplicações contra ameaças cibernéticas.

Application Security Life Cycle

O ciclo de vida da segurança de aplicações integra a segurança em todas as fases do desenvolvimento de softwaredesde o planejamento e design até a implantação e manutenção. Aprenda suas etapas, melhores práticas e por que é crítico para proteger aplicações modernas.

Application Security Posture Management (ASPM)

O Gerenciamento de Postura de Segurança de Aplicações (ASPM) é uma plataforma que oferece às organizações visibilidade e controle completos sobre os riscos de segurança de suas aplicações ao longo de todo o ciclo de vida do software.

Application Security Testing

Teste de Segurança de Aplicações (AST) significa verificar aplicações em busca de vulnerabilidades que atacantes poderiam explorar. Métodos comuns de AST incluem SAST, DAST e IAST, que ajudam a manter o software seguro em cada estágio do desenvolvimento.

C

CI Gating

O Controle de CI é um mecanismo automatizado de "parar a linha" no pipeline de desenvolvimento. Ele avalia o código em relação a políticas de segurança e qualidade, bloqueando qualquer commit que não atenda aos critérios

CI/CD Pipeline

Um pipeline CI/CD é um processo automatizado para levar o código do laptop de um desenvolvedor e enviá-lo com segurança para os usuários. Ele compila o código, testa-o e o implanta sem depender de etapas manuais.

CI/CD security

A segurança CI/CD é o processo de integrar segurança no pipeline de Integração Contínua e Implantação Contínua (CI/CD), desde o commit até a implantação

Cloud Security Posture Management (CSPM)

O Gerenciamento de Postura de Segurança na Nuvem (CSPM) é um método de segurança e conjunto de ferramentas que monitora continuamente o ambiente de nuvem para detectar e corrigir configurações incorretas, violações de conformidade e riscos de segurança em plataformas de nuvem como AWS, Azure ou Google Cloud

Cloud-Native Application Protection Platform (CNAPP)

CNAPP (Plataforma de Proteção de Aplicações Nativas da Nuvem) é um modelo de segurança unificado. Combina Gerenciamento de Postura de Segurança na Nuvem (CSPM), Proteção de Carga de Trabalho na Nuvem (CWPP), Gerenciamento de Direitos de Infraestrutura na Nuvem (CIEM) e Gerenciamento de Postura de Segurança de Aplicações (ASPM).

Common Vulnerabilities and Exposures (CVE)

CVE significa Common Vulnerabilities and Exposures. É um sistema que rastreia vulnerabilidades de cibersegurança já conhecidas pelo público.

Container Security

Segurança de Contêineres é o processo de proteger aplicações containerizadas (executando no Docker ou Kubernetes) ao longo de todo o seu ciclo de vida, desde a construção até a execução.

CVSS (Common Vulnerability Scoring System)

CVSS é uma maneira padrão de dizer quão grave é uma falha de segurança. Ele atribui a cada vulnerabilidade uma pontuação de 0 a 10 para que as equipes saibam o que corrigir primeiro.

D

DevSecOps

DevSecOps é uma forma de trabalhar que adiciona segurança a cada etapa do processo DevOps, começando com codificação e teste e continuando através de implantação e manutenção

Docker Container

Uma explicação simples dos contêineres Docker, como eles funcionam e por que os desenvolvedores os usam para executar aplicativos de forma consistente em diferentes ambientes.

Dynamic Application Security Testing (DAST)

Teste dinâmico de segurança de aplicações, ou DAST, é uma maneira de verificar a segurança de uma aplicação enquanto ela está em execução. Ao contrário do SAST, que analisa o código-fonte, o DAST testa a segurança simulando ataques reais como Injeção de SQL e Cross-Site Scripting (XSS) em um ambiente ao vivo.

E

EPSS Score (Exploit Prediction Scoring System)

O Sistema de Pontuação de Previsão de Exploração (EPSS) é um padrão orientado por dados que estima a probabilidade de que uma vulnerabilidade de software específica seja explorada em campo.

F

False Positives

Um falso positivo é quando uma ferramenta de segurança relata um problema que na verdade não existe.

I

Infrastructure as Code (IaC) Security

A segurança de Infraestrutura como Código (IaC) é o processo de proteger sua infraestrutura de nuvem ao escanear os arquivos de configuração ou scripts escritos em linguagens específicas como Terraform, CloudFormation, Kubernetes YAML, etc., antes da implantação.

Interactive Application Security Testing (IAST)

O Teste de Segurança de Aplicações Interativas (IAST) é um método que combina SAST (Teste de Segurança de Aplicações Estáticas) e DAST (Teste de Segurança de Aplicações Dinâmicas) para encontrar vulnerabilidades em aplicações de forma mais eficaz.

M

Malware Detection

Detecção de malware significa encontrar e bloquear software nocivo, como vírus, ransomware, spyware e trojans em sistemas, redes e aplicações.

Mean Time to Remediation (MTTR)

MTTR é uma métrica chave de cibersegurança que mostra quão rapidamente você responde a uma ameaça conhecida

MFA (Multi-Factor Authentication)

A autenticação multifator é um método de segurança que requer dois ou mais tipos de verificação para acessar um aplicativo ou sistema. O MFA adiciona uma camada extra de proteção, para que você não dependa apenas de uma senha.

N

National Vulnerability Database (NVD)

O NVD é o principal repositório mundial de dados de vulnerabilidades mantido pelo NIST. Ele enriquece os identificadores CVE com pontuações de severidade CVSS, classificações CWE e descrições técnicas detalhadas.

O

Open Source Audit

Auditoria de Código Aberto é uma revisão abrangente de todos os componentes de código aberto usados dentro de uma aplicação de software

OWASP Top 10

O OWASP Top 10 lista as vulnerabilidades mais sérias em aplicações web. OWASP também oferece recursos úteis para que desenvolvedores e equipes de segurança possam aprender a encontrar, corrigir e prevenir esses problemas nas aplicações atuais.

P

Phishing

Phishing é um tipo de ataque de engenharia social onde os atacantes se passam por entidades confiáveis, como bancos, serviços de nuvem, colegas de trabalho, etc., para enganar a vítima e fazê-la revelar suas informações sensíveis, como senha, número de cartão de crédito ou outras credenciais.

R

RBAC (Role-Based Access Control)

RBAC é um método para gerenciar a segurança do sistema, atribuindo usuários a funções específicas dentro de uma organização. Cada função possui seu próprio conjunto de permissões, que determina quais ações os usuários nessa função podem realizar.

Reverse Shell

Um shell reverso é um shell remoto onde o computador da vítima inicia a conexão com o computador do atacante.

S

SBOM

SBOM é um inventário detalhado dos componentes que compõem um software, incluindo bibliotecas de terceiros e de código aberto, e versão do framework.

Secret Detection

A detecção de segredos é o processo de escanear bases de código, pipelines CI/CD e a nuvem para identificar segredos expostos, como chaves de API, credenciais, chaves de criptografia ou tokens. Isso é crucial porque atacantes, como bots de preenchimento de credenciais ou sequestradores de recursos em nuvem, podem explorar esses segredos expostos para obter acesso não autorizado.

Security Remediation

Remediação significa corrigir ou remover fraquezas nos sistemas de uma organização para torná-los seguros e reduzir riscos.

Shift Left Security

Software Composition Analysis (SCA)

A Análise de Composição de Software (SCA) é um processo de segurança que identifica e gerencia riscos em bibliotecas de terceiros usadas dentro de uma aplicação

Software Development Life Cycle (SDLC)

O Ciclo de Vida de Desenvolvimento de Software, ou SDLC, é um processo que ajuda as equipes de desenvolvimento a planejar, projetar, construir, testar e lançar aplicações de maneira organizada.

Software Supply Chain Security

A segurança da cadeia de suprimentos de software trata de manter cada parte, processo e ferramenta seguros durante o desenvolvimento de software, desde a primeira linha de código até a implantação final.

SQL Injection (SQLi)

Injeção de SQL (SQLi) é um tipo de ataque onde atacantes inserem declarações SQL maliciosas em campos de entrada para manipular o banco de dados.

SSDLC

SSDLC (Ciclo de Vida de Desenvolvimento de Software Seguro) é uma extensão do SDLC tradicional que incorpora práticas de segurança em cada estágio do desenvolvimento de software—design, codificação, teste, implantação e manutenção. Seu objetivo é identificar e abordar vulnerabilidades precocemente, reduzindo correções dispendiosas e garantindo aplicações mais seguras.

Static Application Security Testing (SAST)

SAST é um tipo de teste de segurança de aplicações que verifica o código-fonte de uma aplicação (o código original escrito pelos desenvolvedores), dependências (bibliotecas ou pacotes externos dos quais o código depende) ou binários (código compilado pronto para execução) antes de ser executado.

X

XSS (Cross-Site Scripting)

Cross-Site Scripting, ou XSS, é uma falha de segurança em sites que permite que invasores adicionem scripts nocivos a páginas da web. Na maioria das vezes, esses scripts são escritos em JavaScript.

Z

Zero Trust

Zero Trust é um conceito de cibersegurança que assume que nenhum dispositivo, usuário ou aplicativo deve ser confiável, mesmo dentro do perímetro da rede. O acesso é concedido apenas após verificação da saúde do dispositivo, identidade e contexto.

Zero-Day Vulnerability

Vulnerabilidade Zero-Day é uma falha de segurança de software que o fornecedor ou desenvolvedor acabou de descobrir, portanto, não tiveram tempo de criar ou lançar um patch. Como ainda não há correção, os cibercriminosos podem aproveitar essas falhas para lançar ataques que são difíceis de detectar e parar.