A
Alert Fatigue
Mệt mỏi vì cảnh báo là tình trạng xảy ra khi các nhóm bảo mật hoặc vận hành bị ngập trong các cảnh báo mỗi ngày. Theo thời gian, mọi người trở nên mệt mỏi, căng thẳng và bắt đầu bỏ qua chúng.
API Security
Bảo mật API là quá trình bảo vệ các API, các phần của phần mềm hiện đại cho phép ứng dụng giao tiếp, khỏi truy cập trái phép, lạm dụng hoặc tấn công.
API Security Testing
Kiểm tra Bảo mật API tìm và sửa các lỗ hổng như xác thực bị hỏng hoặc rò rỉ dữ liệu trong API, rất cần thiết để bảo vệ ứng dụng hiện đại và dữ liệu nhạy cảm.
Application Security
Bảo mật ứng dụng là thực hành bảo vệ phần mềm khỏi các lỗ hổng và tấn công trong toàn bộ vòng đời phát triển phần mềm (SDLC). Tìm hiểu tầm quan trọng của nó, các mối đe dọa phổ biến và các thực hành vòng đời để bảo vệ các ứng dụng hiện đại trong môi trường đám mây và container.
Application Security Assessment
Đánh giá bảo mật ứng dụng là quá trình xác định và khắc phục các lỗ hổng trong phần mềm. Tìm hiểu mục tiêu, thành phần, công cụ phổ biến và thách thức để bảo vệ ứng dụng khỏi các mối đe dọa mạng.
Application Security Life Cycle
Vòng đời bảo mật ứng dụng tích hợp bảo mật vào mọi giai đoạn phát triển phần mềm—từ lập kế hoạch và thiết kế đến triển khai và bảo trì. Tìm hiểu các giai đoạn, thực tiễn tốt nhất và lý do tại sao nó quan trọng đối với việc bảo vệ các ứng dụng hiện đại.
Application Security Posture Management (ASPM)
Quản lý Tư thế An ninh Ứng dụng (ASPM) là một nền tảng cung cấp cho các tổ chức khả năng hiển thị và kiểm soát hoàn toàn các rủi ro an ninh ứng dụng của họ trong suốt vòng đời phần mềm.
Application Security Testing
Kiểm tra bảo mật ứng dụng (AST) có nghĩa là kiểm tra ứng dụng để tìm các điểm yếu mà kẻ tấn công có thể lợi dụng. Các phương pháp AST phổ biến bao gồm SAST, DAST và IAST, giúp giữ cho phần mềm an toàn ở mọi giai đoạn phát triển.
C
CI Gating
CI Gating là một cơ chế tự động "dừng dây chuyền" trong quy trình phát triển. Nó đánh giá mã nguồn dựa trên các chính sách bảo mật và chất lượng, chặn bất kỳ cam kết nào không đạt tiêu chuẩn.
CI/CD Pipeline
Một đường dẫn CI/CD là một quy trình tự động để lấy mã từ máy tính xách tay của nhà phát triển và vận chuyển an toàn đến người dùng. Nó xây dựng mã, kiểm tra và triển khai mà không cần dựa vào các bước thủ công.
CI/CD security
Bảo mật CI/CD là quá trình tích hợp bảo mật vào quy trình Tích hợp Liên tục và Triển khai Liên tục (CI/CD), từ cam kết đến triển khai
Cloud Security Posture Management (CSPM)
Quản lý Tư thế Bảo mật Đám mây (CSPM) là phương pháp và bộ công cụ bảo mật liên tục giám sát môi trường đám mây để phát hiện và sửa chữa cấu hình sai, vi phạm tuân thủ và rủi ro bảo mật trên các nền tảng đám mây như AWS, Azure hoặc Google Cloud
Cloud-Native Application Protection Platform (CNAPP)
CNAPP (Nền tảng bảo vệ ứng dụng gốc đám mây) là một mô hình bảo mật hợp nhất. Nó kết hợp Quản lý tư thế bảo mật đám mây (CSPM), Bảo vệ khối lượng công việc đám mây (CWPP), Quản lý quyền cơ sở hạ tầng đám mây (CIEM), và Quản lý tư thế bảo mật ứng dụng (ASPM).
Common Vulnerabilities and Exposures (CVE)
CVE là viết tắt của Common Vulnerabilities and Exposures. Đây là một hệ thống theo dõi các lỗ hổng an ninh mạng đã được công khai.
Container Security
Bảo mật Container là quá trình bảo vệ các ứng dụng được container hóa (chạy trên Docker hoặc Kubernetes) trong suốt vòng đời của chúng, từ xây dựng đến thời gian chạy.
CVSS (Common Vulnerability Scoring System)
CVSS là một cách tiêu chuẩn để đánh giá mức độ nghiêm trọng của lỗi bảo mật. Nó cung cấp cho mỗi lỗ hổng một điểm từ 0 đến 10 để các nhóm biết cần sửa chữa gì trước.
D
DevSecOps
DevSecOps là một phương thức làm việc bổ sung bảo mật vào từng bước của quy trình DevOps, bắt đầu từ việc mã hóa và kiểm thử và tiếp tục qua triển khai và bảo trì
Docker Container
Một giải thích đơn giản về các container Docker, cách chúng hoạt động và lý do các nhà phát triển sử dụng chúng để chạy ứng dụng nhất quán trên các môi trường.
Dynamic Application Security Testing (DAST)
Kiểm tra bảo mật ứng dụng động, hay DAST, là một cách để kiểm tra bảo mật của ứng dụng khi nó đang chạy. Không giống như SAST, vốn xem xét mã nguồn, DAST kiểm tra bảo mật bằng cách mô phỏng các cuộc tấn công thực tế như SQL Injection và Cross-Site Scripting (XSS) trong môi trường trực tiếp.
F
False Positives
Dương tính giả là khi một công cụ bảo mật báo cáo một vấn đề không thực sự tồn tại.
I
Infrastructure as Code (IaC) Security
Bảo mật Hạ tầng như Mã (IaC) là quá trình bảo vệ hạ tầng đám mây của bạn bằng cách quét các tệp cấu hình hoặc script được viết bằng các ngôn ngữ cụ thể như Terraform, CloudFormation, Kubernetes YAML, v.v., trước khi triển khai.
Interactive Application Security Testing (IAST)
Kiểm tra bảo mật ứng dụng tương tác (IAST) là phương pháp kết hợp SAST (Kiểm tra bảo mật ứng dụng tĩnh) và DAST (Kiểm tra bảo mật ứng dụng động) để tìm các lỗ hổng ứng dụng hiệu quả hơn.
M
Malware Detection
Phát hiện phần mềm độc hại có nghĩa là tìm và chặn phần mềm có hại như virus, ransomware, phần mềm gián điệp và trojan trên hệ thống, mạng và ứng dụng.
Mean Time to Remediation (MTTR)
MTTR là chỉ số an ninh mạng quan trọng cho thấy bạn phản ứng nhanh chóng như thế nào với một mối đe dọa đã biết
MFA (Multi-Factor Authentication)
Xác thực đa yếu tố là một phương pháp bảo mật yêu cầu hai hoặc nhiều loại xác minh để truy cập vào một ứng dụng hoặc hệ thống. MFA thêm một lớp bảo vệ bổ sung, vì vậy bạn không chỉ dựa vào mật khẩu
O
Open Source Audit
Kiểm toán Mã nguồn Mở là một đánh giá toàn diện về tất cả các thành phần mã nguồn mở được sử dụng trong một ứng dụng phần mềm
OWASP Top 10
OWASP Top 10 liệt kê những lỗ hổng nghiêm trọng nhất của ứng dụng web. OWASP cũng cung cấp các tài nguyên hữu ích để các nhà phát triển và đội ngũ an ninh có thể học cách tìm, sửa chữa và ngăn chặn những vấn đề này trong các ứng dụng ngày nay.
R
RBAC (Role-Based Access Control)
RBAC là một phương pháp quản lý bảo mật hệ thống bằng cách gán người dùng vào các vai trò cụ thể trong một tổ chức. Mỗi vai trò đi kèm với một tập hợp quyền riêng, quyết định những hành động mà người dùng trong vai trò đó được phép thực hiện.
Reverse Shell
Shell đảo ngược là một shell từ xa nơi máy tính của nạn nhân bắt đầu kết nối với máy tính của kẻ tấn công.
S
SBOM
SBOM là danh sách chi tiết các thành phần tạo nên một phần mềm, bao gồm các thư viện bên thứ ba và mã nguồn mở, và phiên bản khung.
Secret Detection
Phát hiện bí mật là quá trình quét các cơ sở mã, các đường dẫn CI/CD và đám mây để xác định các bí mật bị lộ như khóa API, thông tin đăng nhập, khóa mã hóa hoặc token. Điều này rất quan trọng vì kẻ tấn công, chẳng hạn như bot nhồi nhét thông tin đăng nhập hoặc kẻ chiếm đoạt tài nguyên đám mây, có thể lợi dụng những bí mật bị lộ này để truy cập trái phép.
Security Remediation
Khắc phục có nghĩa là sửa chữa hoặc loại bỏ các điểm yếu trong hệ thống của tổ chức để làm cho chúng an toàn và giảm rủi ro.
Shift Left Security
Software Composition Analysis (SCA)
Phân tích Thành phần Phần mềm (SCA) là quy trình bảo mật để xác định và quản lý rủi ro trong các thư viện bên thứ ba được sử dụng trong ứng dụng
Software Development Life Cycle (SDLC)
Vòng đời phát triển phần mềm, hay SDLC, là một quy trình giúp các nhóm phát triển lập kế hoạch, thiết kế, xây dựng, kiểm tra và triển khai ứng dụng một cách có tổ chức.
Software Supply Chain Security
Bảo mật chuỗi cung ứng phần mềm là việc giữ an toàn cho mọi phần, quy trình và công cụ trong suốt quá trình phát triển phần mềm, từ dòng mã đầu tiên đến triển khai cuối cùng.
SQL Injection (SQLi)
SQL Injection (SQLi) là một loại tấn công mà kẻ tấn công nhập câu lệnh SQL độc hại vào trường nhập liệu để thao túng cơ sở dữ liệu.
SSDLC
SSDLC (Vòng đời phát triển phần mềm an toàn) là một phần mở rộng của SDLC truyền thống, tích hợp các thực hành bảo mật vào mọi giai đoạn phát triển phần mềm—thiết kế, mã hóa, kiểm thử, triển khai và bảo trì. Mục tiêu của nó là xác định và giải quyết các lỗ hổng sớm, giảm thiểu chi phí sửa chữa và đảm bảo ứng dụng an toàn hơn.
Static Application Security Testing (SAST)
SAST là một loại kiểm tra bảo mật ứng dụng kiểm tra mã nguồn của ứng dụng (mã gốc do các nhà phát triển viết), các phụ thuộc (thư viện hoặc gói bên ngoài mà mã dựa vào), hoặc các tệp nhị phân (mã đã biên dịch sẵn sàng chạy) trước khi nó chạy.
Z
Zero Trust
Zero Trust là một khái niệm an ninh mạng cho rằng không thiết bị, người dùng, hay ứng dụng nào nên được tin tưởng, ngay cả khi nằm trong phạm vi mạng. Quyền truy cập chỉ được cấp sau khi xác minh tình trạng thiết bị, danh tính và ngữ cảnh.
Zero-Day Vulnerability
Lỗ hổng Zero-Day là một lỗi bảo mật phần mềm mà nhà cung cấp hoặc nhà phát triển vừa phát hiện ra, vì vậy họ chưa có thời gian để tạo hoặc phát hành bản vá. Vì chưa có bản sửa lỗi nào, tội phạm mạng có thể lợi dụng những lỗ hổng này để thực hiện các cuộc tấn công khó phát hiện và ngăn chặn.