المسرد

إرهاق التنبيهات هو ما يحدث عندما تُغمر فرق الأمن أو العمليات بالتنبيهات كل يوم. مع مرور الوقت، يشعر الناس بالتعب والضغط ويبدؤون في تجاهلها.

أمان واجهة برمجة التطبيقات هو عملية حماية واجهات برمجة التطبيقات، وهي الأجزاء من البرمجيات الحديثة التي تسمح للتطبيقات بالتواصل، من الوصول غير المصرح به أو الإساءة أو الهجمات.

يكتشف اختبار أمان API ويصلح الثغرات مثل المصادقة المكسورة أو تسرب البيانات في واجهات برمجة التطبيقات، وهو ضروري لحماية التطبيقات الحديثة والبيانات الحساسة.

أمان التطبيقات هو ممارسة حماية البرمجيات من الثغرات والهجمات عبر دورة حياة تطوير البرمجيات بالكامل. تعرف على أهميته، التهديدات الشائعة، وممارسات دورة الحياة لتأمين التطبيقات الحديثة في بيئات السحابة والحاويات.

تقييم أمان التطبيقات هو عملية تحديد وإصلاح الثغرات في البرمجيات. تعرف على أهدافه، مكوناته، الأدوات الشائعة، والتحديات لحماية التطبيقات من التهديدات السيبرانية.

تدمج دورة حياة أمان التطبيقات الأمان في كل مرحلة من مراحل تطوير البرمجيات - من التخطيط والتصميم إلى النشر والصيانة. تعرف على مراحلها وأفضل الممارسات ولماذا هي ضرورية لحماية التطبيقات الحديثة.

إدارة وضع أمان التطبيقات (ASPM) هي منصة تمنح المؤسسات رؤية كاملة وتحكمًا في مخاطر أمان تطبيقاتها عبر دورة حياة البرمجيات بأكملها.

يعني اختبار أمان التطبيقات (AST) فحص التطبيقات للبحث عن نقاط الضعف التي يمكن للمهاجمين استغلالها. تشمل طرق AST الشائعة SAST وDAST وIAST، والتي تساعد في الحفاظ على أمان البرامج في كل مرحلة من مراحل التطوير.

بوابة CI هي آلية تلقائية "لإيقاف الخط" في خط تطوير البرمجيات. تقوم بتقييم الكود وفقًا لسياسات الأمان والجودة، وتمنع أي التزام لا يفي بالمعايير

خط أنابيب CI/CD هو عملية مؤتمتة لنقل الكود من حاسوب المطور وشحنه بأمان إلى المستخدمين. يقوم ببناء الكود واختباره ونشره دون الاعتماد على خطوات يدوية.

أمان CI/CD هو عملية دمج الأمان في خط أنابيب التكامل المستمر والنشر المستمر (CI/CD)، من الالتزام إلى النشر

إدارة وضع الأمان السحابي (CSPM) هي طريقة وأدوات أمنية تراقب باستمرار البيئة السحابية للكشف عن وتصحيح الأخطاء في التكوين، انتهاكات الامتثال، ومخاطر الأمان على منصات السحابة مثل AWS، Azure، أو Google Cloud

CNAPP (منصة حماية التطبيقات السحابية الأصلية) هو نموذج أمني موحد. يجمع بين إدارة وضع الأمان السحابي (CSPM)، وحماية عبء العمل السحابي (CWPP)، وإدارة حقوق البنية التحتية السحابية (CIEM)، وإدارة وضع أمان التطبيقات (ASPM).

CVE هو اختصار لـ Common Vulnerabilities and Exposures. إنه نظام يتتبع الثغرات الأمنية السيبرانية المعروفة بالفعل للجمهور.

أمان الحاويات هو عملية حماية التطبيقات المحوسبة (التي تعمل على Docker أو Kubernetes) عبر دورة حياتها الكاملة، من البناء إلى التشغيل.

CVSS هو طريقة قياسية لتحديد مدى خطورة ثغرة أمنية. يمنح كل ثغرة درجة من 0 إلى 10 حتى تعرف الفرق ما يجب إصلاحه أولاً.

DevSecOps هو طريقة عمل تضيف الأمان إلى كل خطوة من خطوات عملية DevOps، بدءًا من الترميز والاختبار واستمرارًا من خلال النشر والصيانة

شرح بسيط لحاويات Docker، وكيفية عملها، ولماذا يستخدمها المطورون لتشغيل التطبيقات بشكل متسق عبر البيئات.

اختبار أمان التطبيقات الديناميكي، أو DAST، هو طريقة لفحص أمان التطبيق أثناء تشغيله. على عكس SAST، الذي ينظر إلى كود المصدر، يختبر DAST الأمان من خلال محاكاة هجمات حقيقية مثل حقن SQL والبرمجة عبر المواقع (XSS) في بيئة حية.

نظام تسجيل التنبؤ بالاستغلال (EPSS) هو معيار قائم على البيانات يقدر احتمالية استغلال ثغرة برمجية معينة في البرية.

الإيجابية الكاذبة هي عندما يبلغ أداة الأمان عن مشكلة غير موجودة بالفعل.

أمان البنية التحتية ككود (IaC) هو عملية تأمين البنية التحتية السحابية الخاصة بك عن طريق فحص ملفات التكوين أو السكريبتات المكتوبة بلغات محددة مثل Terraform وCloudFormation وKubernetes YAML، إلخ، قبل النشر.

اختبار أمان التطبيقات التفاعلي (IAST) هو طريقة تجمع بين SAST (اختبار أمان التطبيقات الثابت) وDAST (اختبار أمان التطبيقات الديناميكي) للعثور على نقاط الضعف في التطبيقات بشكل أكثر فعالية.

اكتشاف البرمجيات الخبيثة يعني العثور على البرامج الضارة مثل الفيروسات وبرامج الفدية وبرامج التجسس وأحصنة طروادة وحظرها على الأنظمة والشبكات والتطبيقات.

متوسط الوقت للإصلاح هو مقياس رئيسي في الأمن السيبراني يظهر مدى سرعة استجابتك لتهديد معروف

التحقق متعدد العوامل هو طريقة أمان تتطلب نوعين أو أكثر من التحقق للوصول إلى تطبيق أو نظام. يضيف MFA طبقة إضافية من الحماية، بحيث لا تعتمد فقط على كلمة المرور

تعد NVD المستودع الرئيسي في العالم لبيانات الثغرات التي تحتفظ بها NIST. تقوم بإثراء معرفات CVE بدرجات شدة CVSS وتصنيفات CWE ووصف تقني مفصل.

تدقيق المصدر المفتوح هو مراجعة شاملة لجميع المكونات المفتوحة المصدر المستخدمة داخل تطبيق برمجي

تسرد OWASP Top 10 أخطر الثغرات في تطبيقات الويب. كما تقدم OWASP موارد مفيدة حتى يتمكن المطورون وفرق الأمان من تعلم كيفية العثور على هذه المشكلات وإصلاحها ومنعها في تطبيقات اليوم.

التصيد الاحتيالي هو نوع من هجمات الهندسة الاجتماعية حيث يتظاهر المهاجمون بأنهم كيانات موثوقة مثل البنوك أو خدمات السحابة أو زملاء العمل لخداع الضحية للكشف عن معلوماتهم الحساسة مثل كلمة المرور أو رقم بطاقة الائتمان أو بيانات اعتماد أخرى.

RBAC، هو طريقة لإدارة أمان النظام من خلال تعيين المستخدمين لأدوار محددة داخل المؤسسة. كل دور يأتي مع مجموعة من الأذونات الخاصة به، والتي تحدد ما هي الإجراءات المسموح للمستخدمين في هذا الدور القيام بها.

الشل العكسي هو شل عن بعد حيث يبدأ جهاز الضحية الاتصال بجهاز المهاجم.

SBOM هو جرد تفصيلي للمكونات التي تشكل البرمجيات، بما في ذلك المكتبات الخارجية والمفتوحة المصدر وإصدارات الأطر.

كشف الأسرار هو عملية فحص قواعد الأكواد وخطوط أنابيب CI/CD والسحابة لتحديد الأسرار المكشوفة مثل مفاتيح API وبيانات الاعتماد ومفاتيح التشفير أو الرموز. هذا أمر حيوي لأن المهاجمين، مثل الروبوتات التي تملأ بيانات الاعتماد أو مختطفي موارد السحابة، يمكنهم استغلال هذه الأسرار المكشوفة للوصول غير المصرح به.

التصحيح يعني إصلاح أو إزالة نقاط الضعف في أنظمة المنظمة لجعلها آمنة وتقليل المخاطر.

تحليل تكوين البرمجيات (SCA) هو عملية أمنية تحدد وتدير المخاطر في المكتبات الخارجية المستخدمة داخل التطبيقات

دورة حياة تطوير البرمجيات، أو SDLC، هي عملية تساعد فرق التطوير على التخطيط، التصميم، البناء، الاختبار، وإطلاق التطبيقات بطريقة منظمة.

أمان سلسلة توريد البرمجيات يتعلق بالحفاظ على سلامة كل جزء وعملية وأداة طوال تطوير البرمجيات، من أول سطر في الكود إلى النشر النهائي.

حقن SQL (SQLi) هو نوع من الهجمات حيث يقوم المهاجمون بإدخال بيان SQL ضار في حقل الإدخال للتلاعب بقاعدة البيانات.

SSDLC (دورة حياة تطوير البرمجيات الآمنة) هو امتداد لـ SDLC التقليدي الذي يدمج ممارسات الأمان في كل مرحلة من مراحل تطوير البرمجيات - التصميم، الترميز، الاختبار، النشر، والصيانة. هدفه هو تحديد ومعالجة الثغرات في وقت مبكر، مما يقلل من الإصلاحات المكلفة ويضمن تطبيقات أكثر أمانًا.

SAST هو نوع من اختبار أمان التطبيقات الذي يتحقق من شفرة المصدر للتطبيق (الشفرة الأصلية التي كتبها المطورون)، أو التبعيات (المكتبات أو الحزم الخارجية التي يعتمد عليها الشفرة)، أو الثنائيات (الشفرة المترجمة الجاهزة للتشغيل) قبل تشغيلها.

البرمجة عبر المواقع، أو XSS، هي خلل أمني في المواقع الإلكترونية يسمح للمهاجمين بإضافة سكريبتات ضارة إلى صفحات الويب. في معظم الأحيان، تُكتب هذه السكريبتات بلغة JavaScript.

الثقة الصفرية هي مفهوم في الأمن السيبراني يفترض أنه لا ينبغي الوثوق بأي جهاز أو مستخدم أو تطبيق، حتى لو كان داخل محيط الشبكة. يتم منح الوصول فقط بعد التحقق من صحة الجهاز والهوية والسياق.

ثغرة اليوم الصفري هي خلل أمني في البرمجيات اكتشفه البائع أو المطور للتو، لذلك لم يكن لديهم الوقت لإنشاء أو إصدار تصحيح. نظرًا لعدم وجود إصلاح حتى الآن، يمكن لمجرمي الإنترنت استغلال هذه العيوب لشن هجمات يصعب اكتشافها وإيقافها.

التحقق بخطوتين (2FA) هو طريقة أمان تتطلب من المستخدمين تقديم نوعين من عوامل التحقق لتأكيد هويتهم. يُعتبر جزءًا من التحقق متعدد العوامل (MFA)، حيث يمكن أن يتضمن MFA عاملين أو أكثر من عوامل التحقق، بينما يعني 2FA تحديدًا عاملين فقط.