软件开发中的安全主题是多种多样的,安全术语对不同的团队具有不同的含义。为帮助澄清问题和避免安全问题的混淆,小编列出了A-Z最重要的安全相关词条供你参考。
A
·异常检测(Anomalydetection):用来监测AI和ML异常登录,网络内运作或者文件接口。
·应用安全(APPSEC):IT领域专家关注的安全应用设计,熟悉编程。
·身份验证(Authentication):在请求访问系统中的资源时确认用户身份的机制。通常用户通过密码确认其身份时授予用户访问令牌来处理。
B
·比特币(Bitcoin):一种数字货币,没有任何管理机构裁定。
·数据区块链(blockchain):大型事务数据库,也被称为交易的分类。
C
·内容分发网络(CDN):一个承载的、地理分布的服务器网络,可以改善网站文件的交付和性能。它还可以包括诸如DDoS保护之类的安全特性。
·连续威胁管理(Continuousthreatmanagement):基于预防技术的自适应和预测防御,以备及时的事件响应。
·跨站请求伪造(CSRF):恶意网页利用,攻击程序强制用户的浏览器执行必要的行动的一个网站,目前用户认证。
·跨站脚本(XSS):一种注入攻击目标的应用程序通过客户端脚本,通常是JavaScript。
·加密电子货币(Cryptocurrency):一个加密的数字交换的加密技术的使用为确保安全,都是监管和验证发生交易的方法。
·网络安全(Cybersecurity):一种旨在保护计算机、数据和网络免受潜在攻击或未经授权访问的做法。
D
·数据泄露(Dataexfiltration):数据未经授权的转移。它可以手动或通过恶意的自动程序进行。
·分散自治组织(DAO):作为风险投资基金形式的组织。它贯穿智能合同和交易记录被保持在数据区块链。
·拒绝服务攻击(DDoS):一种攻击,使用多个被胁迫的系统,被迫访问网站或系统,过载带宽以导致中断。
·安全的开发运营(DevSecOps):安全的开发运营(DevOps)方法整合。
·动态应用安全测试(DAST):一个应用程序的安全监控的运行环境和执行的代码中的一个分析。它模拟潜在的攻击并分析结果。
E
·加密(Encryption):无法解密数据编码使其不可读的方法。
·开源漏洞利用(Exploit):利用计算机软件或硬件中的漏洞产生不良行为的一段代码。
I
·注入攻击(Injectionattack):攻击者通过应用程序将恶意代码转发到另一个系统以恶意操纵应用程序的场景。这些攻击可以通过系统调用、通过shell命令的外部程序或通过查询语言(SQL)注入数据库来攻击操作系统。
·交互式应用程序安全性测试(IAST):结合SAST和DAST,通常是在一个Agent监视攻击和识别漏洞在测试运行时环境的实现形式。
M
·恶意软件(Malware):指对计算机或程序造成伤害的软件。
O
·混淆层(Obfuscationlayer):旨在为代码的关键部分提供高级别的保护。
·开放Web应用安全项目(OWASP):公司,一个在线社区教育组织和个人专注于提供Web安全工具,资源,活动,和更为广阔的发展社区。
R
·勒索软件(Ransomware):一种恶意软件,限制或阻止访问受害者的系统直到支付赎金,通常以电子货币支付。
·风险管理(Riskmanagement):根据公司或行业优先考虑最重要的安全问题。
·运行应用程序的自我保护(RASP):应用程序中的一种特性,用于实时检测和停止攻击。
·可重入性攻击(Reentrancyattacks):攻击不受信任的代码进入合同和操作状态。
S
·保密插口层(SSL):一种加密的链接,作为在Web服务器和私有浏览器之间传递信息安全的手段。
·安全设计(Securitybydesign):安全是集成在软件开发生命周期的开始。
·单点登录(SSO):用户或会话认证过程,允许用户输入一组凭证,以访问由SSO软件连接的多个应用程序。
·SQL注入:代码注入技术,用来攻击数据驱动的应用程序,其中的SQL语句插入到输入域中执行。
·静态应用程序安全测试(SAST):分析应用程序的安全性,查看应用程序的源代码、字节码或二进制代码,以确定是否有允许攻击者利用安全漏洞的部分。
T
·威胁向量(Threatvector):黑客可以通过进入计算机或网络服务器以获得有效负载或恶意结果的途径或手段。
·图灵完备(Turingcomplete):如果没有考虑内存或运行时限制,理论上可以解决任何计算问题的系统。
W
·Web应用防火墙(WAF):根据可定制规则监视、过滤和阻止HTTP传输到网站的设备或应用程序。
Z
·零日(Zeroday):软件制造商或反病毒供应商目前不知道的漏洞。它还指允许攻击者利用零日漏洞的一段代码。
