logo

Thuật ngữ

Tăng cường kiến thức bảo mật đám mây của bạn. Thuật ngữ của chúng tôi cung cấp định nghĩa rõ ràng cho các thuật ngữ CNAPP, tư thế bảo mật và bảo mật gốc đám mây để giúp bạn điều hướng bảo vệ ứng dụng hiện đại.

#

2FA

Xác thực Hai Yếu tố (2FA) là một phương pháp bảo mật yêu cầu người dùng cung cấp hai loại yếu tố xác thực để xác nhận danh tính của họ. Nó được coi là một phần của MFA, vì MFA (Xác thực Đa Yếu tố) có thể bao gồm hai hoặc nhiều yếu tố xác minh, trong khi 2FA cụ thể nghĩa là chính xác hai yếu tố.

A

API Security

Bảo mật API là quá trình bảo vệ các API, các phần của phần mềm hiện đại cho phép ứng dụng giao tiếp, khỏi truy cập trái phép, lạm dụng hoặc tấn công.

API Security Testing

Kiểm tra bảo mật API tìm và khắc phục các lỗ hổng như xác thực bị hỏng hoặc rò rỉ dữ liệu trong API, rất cần thiết để bảo vệ các ứng dụng hiện đại và dữ liệu nhạy cảm.

Application Security

Bảo mật ứng dụng là thực hành bảo vệ phần mềm khỏi các lỗ hổng và tấn công trong toàn bộ vòng đời phát triển phần mềm (SDLC). Tìm hiểu tầm quan trọng của nó, các mối đe dọa phổ biến và các thực hành vòng đời để bảo vệ các ứng dụng hiện đại trong môi trường đám mây và container.

Application Security Assessment

Đánh giá bảo mật ứng dụng là quá trình xác định và khắc phục các lỗ hổng trong phần mềm. Tìm hiểu mục tiêu, thành phần, công cụ phổ biến và thách thức để bảo vệ ứng dụng khỏi các mối đe dọa mạng.

Application Security Life Cycle

Vòng đời bảo mật ứng dụng tích hợp bảo mật vào mọi giai đoạn của phát triển phần mềm—từ lập kế hoạch và thiết kế đến triển khai và bảo trì. Tìm hiểu các giai đoạn, thực tiễn tốt nhất và lý do tại sao nó quan trọng cho việc bảo vệ các ứng dụng hiện đại.

Application Security Posture Management (ASPM)

Quản lý Tư thế An ninh Ứng dụng (ASPM) là một nền tảng cung cấp cho các tổ chức khả năng hiển thị và kiểm soát hoàn toàn các rủi ro an ninh ứng dụng của họ trong suốt vòng đời phần mềm.

Application Security Testing

Kiểm tra bảo mật ứng dụng (AST) có nghĩa là kiểm tra ứng dụng để tìm các điểm yếu mà kẻ tấn công có thể lợi dụng. Các phương pháp AST phổ biến bao gồm SAST, DAST và IAST, giúp bảo vệ phần mềm an toàn ở mọi giai đoạn phát triển.

C

CI/CD security

Bảo mật CI/CD là quá trình tích hợp bảo mật vào quy trình Tích hợp Liên tục và Triển khai Liên tục (CI/CD), từ cam kết đến triển khai

Cloud Security Posture Management (CSPM)

Quản lý Tư thế Bảo mật Đám mây (CSPM) là phương pháp và bộ công cụ bảo mật liên tục giám sát môi trường đám mây để phát hiện và sửa chữa cấu hình sai, vi phạm tuân thủ và rủi ro bảo mật trên các nền tảng đám mây như AWS, Azure hoặc Google Cloud

Common Vulnerabilities and Exposures (CVE)

CVE là viết tắt của Common Vulnerabilities and Exposures. Đây là một hệ thống theo dõi các lỗ hổng an ninh mạng đã được công khai.

Container Security

Bảo mật Container là quá trình bảo vệ các ứng dụng được container hóa (chạy trên Docker hoặc Kubernetes) trong suốt vòng đời của chúng, từ xây dựng đến thời gian chạy.

D

DevSecOps

DevSecOps là một phương thức làm việc bổ sung bảo mật vào từng bước của quy trình DevOps, bắt đầu từ việc mã hóa và kiểm thử và tiếp tục qua triển khai và bảo trì

Dynamic Application Security Testing (DAST)

Kiểm tra bảo mật ứng dụng động, hay DAST, là một cách để kiểm tra bảo mật của ứng dụng khi nó đang chạy. Không giống như SAST, vốn xem xét mã nguồn, DAST kiểm tra bảo mật bằng cách mô phỏng các cuộc tấn công thực tế như SQL Injection và Cross-Site Scripting (XSS) trong môi trường thực tế.

I

Infrastructure as Code (IaC) Security

Bảo mật Hạ tầng như Mã (IaC) là quá trình bảo vệ hạ tầng đám mây của bạn bằng cách quét các tệp cấu hình hoặc script được viết bằng các ngôn ngữ cụ thể như Terraform, CloudFormation, Kubernetes YAML, v.v., trước khi triển khai.

Interactive Application Security Testing (IAST)

Kiểm Thử Bảo Mật Ứng Dụng Tương Tác (IAST) là một phương pháp kết hợp SAST (Kiểm Thử Bảo Mật Ứng Dụng Tĩnh) và DAST (Kiểm Thử Bảo Mật Ứng Dụng Động) để tìm ra các lỗ hổng ứng dụng hiệu quả hơn.

M

Malware Detection

Phát hiện phần mềm độc hại có nghĩa là tìm và chặn phần mềm có hại như virus, ransomware, phần mềm gián điệp và trojan trên hệ thống, mạng và ứng dụng.

MFA (Multi-Factor Authentication)

Xác thực đa yếu tố là một phương pháp bảo mật yêu cầu hai hoặc nhiều loại xác minh để truy cập vào một ứng dụng hoặc hệ thống. MFA thêm một lớp bảo vệ bổ sung, vì vậy bạn không chỉ dựa vào mật khẩu

O

Open Source Audit

Kiểm toán Mã nguồn Mở là một đánh giá toàn diện về tất cả các thành phần mã nguồn mở được sử dụng trong một ứng dụng phần mềm

OWASP Top 10

OWASP Top 10 liệt kê những lỗ hổng nghiêm trọng nhất của ứng dụng web. OWASP cũng cung cấp các tài nguyên hữu ích để các nhà phát triển và đội ngũ an ninh có thể học cách tìm, sửa và ngăn chặn những vấn đề này trong các ứng dụng hiện nay.

P

Phishing

Phishing là một loại tấn công kỹ thuật xã hội, nơi kẻ tấn công giả danh các thực thể đáng tin cậy như ngân hàng, dịch vụ đám mây, đồng nghiệp, v.v. để lừa nạn nhân tiết lộ thông tin nhạy cảm của họ như mật khẩu, số thẻ tín dụng hoặc các thông tin đăng nhập khác.

R

RBAC (Role-Based Access Control)

RBAC là một phương pháp quản lý bảo mật hệ thống bằng cách gán người dùng vào các vai trò cụ thể trong một tổ chức. Mỗi vai trò đi kèm với một tập hợp quyền riêng, quyết định những hành động mà người dùng trong vai trò đó được phép thực hiện.

S

SBOM

SBOM là danh sách chi tiết các thành phần cấu tạo nên phần mềm, bao gồm thư viện bên thứ ba và mã nguồn mở, và phiên bản khung.

Secret Detection

Phát hiện bí mật là quá trình quét các cơ sở mã, các đường dẫn CI/CD và đám mây để xác định các bí mật bị lộ như khóa API, thông tin đăng nhập, khóa mã hóa hoặc token. Điều này rất quan trọng vì các kẻ tấn công, chẳng hạn như bot nhồi nhét thông tin đăng nhập hoặc kẻ chiếm đoạt tài nguyên đám mây, có thể khai thác những bí mật bị lộ này để truy cập trái phép.

Security Remediation

Khắc phục có nghĩa là sửa chữa hoặc loại bỏ các điểm yếu trong hệ thống của tổ chức để làm cho chúng an toàn và giảm rủi ro.

Software Composition Analysis (SCA)

Phân tích Thành phần Phần mềm (SCA) là quy trình bảo mật để xác định và quản lý rủi ro trong các thư viện bên thứ ba được sử dụng trong ứng dụng

Software Development Life Cycle (SDLC)

Vòng đời phát triển phần mềm, hay SDLC, là một quy trình giúp các nhóm phát triển lập kế hoạch, thiết kế, xây dựng, kiểm tra và triển khai ứng dụng một cách có tổ chức.

Software Supply Chain Security

Bảo mật chuỗi cung ứng phần mềm là việc giữ an toàn cho mọi phần, quy trình và công cụ trong suốt quá trình phát triển phần mềm, từ dòng mã đầu tiên đến triển khai cuối cùng.

SQL Injection (SQLi)

SQL Injection (SQLi) là một loại tấn công mà kẻ tấn công nhập câu lệnh SQL độc hại vào trường nhập liệu để thao túng cơ sở dữ liệu.

SSDLC

SSDLC (Vòng đời phát triển phần mềm an toàn) là một phần mở rộng của SDLC truyền thống, tích hợp các thực hành bảo mật vào mọi giai đoạn phát triển phần mềm—thiết kế, mã hóa, kiểm thử, triển khai và bảo trì. Mục tiêu của nó là xác định và giải quyết các lỗ hổng sớm, giảm thiểu chi phí sửa chữa và đảm bảo ứng dụng an toàn hơn.

Static Application Security Testing (SAST)

SAST là một loại kiểm tra bảo mật ứng dụng kiểm tra mã nguồn của ứng dụng (mã gốc do các nhà phát triển viết), các phụ thuộc (thư viện hoặc gói bên ngoài mà mã dựa vào), hoặc các tệp nhị phân (mã đã biên dịch sẵn sàng chạy) trước khi nó chạy.

X

XSS (Cross-Site Scripting)

XSS, hay Cross-Site Scripting, là một lỗ hổng bảo mật trên các trang web cho phép kẻ tấn công thêm các script độc hại vào trang web. Phần lớn các script này được viết bằng JavaScript.

Z

Zero Trust

Zero Trust là một khái niệm an ninh mạng cho rằng không thiết bị, người dùng, hay ứng dụng nào nên được tin tưởng, ngay cả khi nằm trong phạm vi mạng. Quyền truy cập chỉ được cấp sau khi xác minh tình trạng thiết bị, danh tính và ngữ cảnh.