#
2FA
双因素认证 (2FA) 是一种安全方法,要求用户提供两种类型的认证因素以确认其身份。它被认为是多因素认证 (MFA) 的一个子集,因为MFA可以涉及两个或多个验证因素,而2FA则特指两个。
A
Alert Fatigue
警报疲劳是指安全或运营团队每天被大量警报淹没时发生的情况。随着时间的推移,人们会感到疲惫、压力,并开始忽视这些警报。
API Security
API安全性是保护API的过程,这些现代软件的部分允许应用程序进行通信,防止未经授权的访问、滥用或攻击。
API Security Testing
API安全测试发现并修复API中的漏洞,如身份验证破损或数据泄露,这对于保护现代应用程序和敏感数据至关重要。
Application Security
应用程序安全是指在整个软件开发生命周期中保护软件免受漏洞和攻击的实践。了解其重要性、常见威胁以及在云和容器环境中保护现代应用程序的生命周期实践。
Application Security Assessment
应用程序安全评估是识别和修复软件漏洞的过程。了解其目标、组成部分、常用工具和挑战,以保护应用程序免受网络威胁。
Application Security Life Cycle
应用程序安全生命周期将安全集成到软件开发的每个阶段——从规划和设计到部署和维护。了解其阶段、最佳实践以及为什么它对于保护现代应用程序至关重要。
Application Security Posture Management (ASPM)
应用程序安全态势管理(ASPM)是一个平台,使组织能够在整个软件生命周期中对其应用程序安全风险进行全面的可视化和控制。
Application Security Testing
应用程序安全测试 (AST) 是指检查应用程序中攻击者可能利用的弱点。常见的 AST 方法包括 SAST、DAST 和 IAST,这些方法有助于在开发的每个阶段保持软件安全。
C
CI Gating
CI 闸门是开发管道中的一种自动“停线”机制。它根据安全和质量政策评估代码,阻止任何不符合标准的提交
CI/CD Pipeline
CI/CD 管道是一个自动化过程,用于将代码从开发者的笔记本电脑安全地传输到用户手中。它构建代码、测试代码,并在不依赖手动步骤的情况下进行部署。
CI/CD security
CI/CD安全性是将安全性集成到持续集成和持续部署(CI/CD)管道中的过程,从提交到部署。
Cloud Security Posture Management (CSPM)
云安全态势管理(CSPM)是一种安全方法和工具集,持续监控云环境以检测和修复配置错误、合规性违规以及AWS、Azure或Google Cloud等云平台上的安全风险。
Cloud-Native Application Protection Platform (CNAPP)
CNAPP(云原生应用保护平台)是一种统一的安全模型。它结合了云安全态势管理 (CSPM)、云工作负载保护 (CWPP)、云基础设施权限管理 (CIEM) 和应用安全态势管理 (ASPM)。
Common Vulnerabilities and Exposures (CVE)
CVE代表常见漏洞和暴露。这是一个跟踪已公开的网络安全漏洞的系统。
Container Security
容器安全是保护容器化应用程序(运行在Docker或Kubernetes上)整个生命周期的过程,从构建到运行时。
CVSS (Common Vulnerability Scoring System)
CVSS 是一种标准化的方法,用于评估安全漏洞的严重程度。它为每个漏洞提供从 0 到 10 的评分,以便团队知道优先修复哪些问题。
D
DevSecOps
DevSecOps是一种工作方式,将安全性添加到DevOps过程的每个步骤中,从编码和测试开始,一直到部署和维护。
Docker Container
对 Docker 容器的简单解释,它们如何工作,以及为什么开发人员使用它们在不同环境中一致地运行应用程序。
Dynamic Application Security Testing (DAST)
动态应用程序安全测试(DAST)是一种在应用程序运行时检查其安全性的方法。与查看源代码的SAST不同,DAST通过在实际环境中模拟SQL注入和跨站脚本(XSS)等真实攻击来测试安全性。
I
Infrastructure as Code (IaC) Security
基础设施即代码 (IaC) 安全性是通过在部署之前扫描用特定语言编写的配置文件或脚本(如 Terraform、CloudFormation、Kubernetes YAML 等)来保护您的云基础设施的过程。
Interactive Application Security Testing (IAST)
交互式应用程序安全测试(IAST)是一种将SAST(静态应用程序安全测试)和DAST(动态应用程序安全测试)结合起来的方法,以更有效地发现应用程序漏洞。
M
Malware Detection
恶意软件检测是指在系统、网络和应用程序中查找并阻止病毒、勒索软件、间谍软件和特洛伊木马等有害软件。
Mean Time to Remediation (MTTR)
MTTR 是一个关键的网络安全指标,显示您对已知威胁的响应速度
MFA (Multi-Factor Authentication)
多因素认证是一种安全方法,需要两种或更多类型的验证才能访问应用程序或系统。MFA增加了一层额外的保护,因此您不仅仅依赖密码。
O
Open Source Audit
开源审计是对软件应用程序中使用的所有开源组件进行的全面审查
OWASP Top 10
OWASP Top 10列出了最严重的Web应用程序漏洞。OWASP还提供了有用的资源,以便开发人员和安全团队可以学习如何在当今的应用程序中发现、修复和预防这些问题。
R
RBAC (Role-Based Access Control)
RBAC 是一种通过在组织内为用户分配特定角色来管理系统安全性的方法。每个角色都有自己的一套权限,这决定了该角色中的用户可以执行哪些操作。
Reverse Shell
反向Shell是一种远程Shell,其中受害者的计算机启动与攻击者计算机的连接。
S
SBOM
SBOM是构成软件的组件的详细清单,包括第三方和开源库以及框架版本。
Secret Detection
秘密检测是扫描代码库、CI/CD管道和云以识别暴露的秘密(如API密钥、凭证、加密密钥或令牌)的过程。这很重要,因为攻击者,如凭证填充机器人或云资源劫持者,可以利用这些暴露的秘密获得未经授权的访问。
Security Remediation
补救措施是指修复或消除组织系统中的弱点,以确保其安全并降低风险。
Shift Left Security
Software Composition Analysis (SCA)
软件组成分析 (SCA) 是一种安全过程,用于识别和管理应用程序中使用的第三方库中的风险
Software Development Life Cycle (SDLC)
软件开发生命周期(SDLC)是一种帮助开发团队以有组织的方式计划、设计、构建、测试和发布应用程序的过程。
Software Supply Chain Security
软件供应链安全是指在软件开发的整个过程中,从第一行代码到最终部署,确保每个部分、过程和工具的安全。
SQL Injection (SQLi)
SQL注入(SQLi)是一种攻击类型,攻击者将恶意SQL语句输入到输入字段中以操纵数据库。
SSDLC
SSDLC(安全软件开发生命周期)是传统SDLC的扩展,将安全实践嵌入到软件开发的每个阶段——设计、编码、测试、部署和维护。其目标是及早识别和解决漏洞,减少昂贵的修复,并确保更安全的应用程序。
Static Application Security Testing (SAST)
SAST是一种应用安全测试类型,它在应用程序运行之前检查应用程序的源代码(开发人员编写的原始代码)、依赖项(代码依赖的外部库或包)或二进制文件(准备运行的编译代码)。