Glosář

Únava z výstrah nastává, když jsou týmy bezpečnosti nebo provozu zaplaveny výstrahami každý den. Postupem času se lidé unaví, vystresují a začnou je ignorovat.

API zabezpečení je proces ochrany API, částí moderního softwaru, které umožňují aplikacím komunikovat, před neoprávněným přístupem, zneužitím nebo útoky.

Testování zabezpečení API nachází a opravuje zranitelnosti, jako je narušené ověřování nebo úniky dat v API, což je nezbytné pro ochranu moderních aplikací a citlivých dat.

Zabezpečení aplikací je praxe ochrany softwaru před zranitelnostmi a útoky v celém SDLC. Naučte se jeho důležitost, běžné hrozby a praktiky životního cyklu pro zabezpečení moderních aplikací v cloudových a kontejnerových prostředích.

Hodnocení bezpečnosti aplikace je proces identifikace a opravy zranitelností v softwaru. Naučte se jeho cíle, komponenty, běžné nástroje a výzvy k ochraně aplikací před kybernetickými hrozbami.

Životní cyklus zabezpečení aplikací integruje bezpečnost do každé fáze vývoje softwaru—od plánování a návrhu až po nasazení a údržbu. Naučte se jeho fáze, osvědčené postupy a proč je kritický pro ochranu moderních aplikací.

Application Security Posture Management (ASPM) je platforma, která organizacím poskytuje úplnou viditelnost a kontrolu nad jejich riziky v oblasti zabezpečení aplikací v celém životním cyklu softwaru.

Testování bezpečnosti aplikací (AST) znamená kontrolu aplikací na slabiny, které by útočníci mohli využít. Běžné metody AST zahrnují SAST, DAST a IAST, které pomáhají udržovat software bezpečný v každé fázi vývoje.

CI Gating je automatizovaný mechanismus „stop-the-line“ v rámci vývojového procesu. Vyhodnocuje kód podle bezpečnostních a kvalitativních politik a blokuje jakýkoli commit, který nesplňuje požadavky.

CI/CD pipeline je automatizovaný proces pro přenos kódu z vývojářova laptopu a jeho bezpečné nasazení k uživatelům. Sestavuje kód, testuje ho a nasazuje bez spoléhání na manuální kroky.

Bezpečnost CI/CD je proces integrace bezpečnosti do pipeline Continuous Integration a Continuous Deployment (CI/CD), od commitu po nasazení.

Správa bezpečnostního postavení cloudu (CSPM) je bezpečnostní metoda a sada nástrojů, která nepřetržitě monitoruje cloudové prostředí za účelem detekce a opravy nesprávné konfigurace, porušení souladu a bezpečnostních rizik na cloudových platformách, jako jsou AWS, Azure nebo Google Cloud.

CNAPP (Platforma pro ochranu cloudově nativních aplikací) je jednotný bezpečnostní model. Kombinuje správu bezpečnostního postavení cloudu (CSPM), ochranu cloudových pracovních zátěží (CWPP), správu oprávnění cloudové infrastruktury (CIEM) a správu bezpečnostního postavení aplikací (ASPM).

CVE znamená Common Vulnerabilities and Exposures. Je to systém, který sleduje kybernetické zranitelnosti, které jsou již veřejně známé.

Bezpečnost kontejnerů je proces ochrany aplikací v kontejnerech (běžících na Dockeru nebo Kubernetes) během jejich celého životního cyklu, od sestavení po běh.

CVSS je standardní způsob, jak říci, jak špatná je bezpečnostní chyba. Každé zranitelnosti přiděluje skóre od 0 do 10, aby týmy věděly, co opravit jako první.

DevSecOps je způsob práce, který přidává bezpečnost do každého kroku procesu DevOps, počínaje kódováním a testováním a pokračuje nasazením a údržbou.

Jednoduché vysvětlení Docker kontejnerů, jak fungují a proč je vývojáři používají k provozování aplikací konzistentně napříč prostředími.

Dynamické testování bezpečnosti aplikací, nebo DAST, je způsob, jak zkontrolovat bezpečnost aplikace, zatímco běží. Na rozdíl od SAST, který se zaměřuje na zdrojový kód, DAST testuje bezpečnost simulací skutečných útoků, jako je SQL Injection a Cross-Site Scripting (XSS) v reálném prostředí.

Exploit Prediction Scoring System (EPSS) je standard založený na datech, který odhaduje pravděpodobnost, že konkrétní softwarová zranitelnost bude zneužita v praxi.

Falešně pozitivní je, když bezpečnostní nástroj hlásí problém, který ve skutečnosti neexistuje.

Zabezpečení infrastruktury jako kód (IaC) je proces zabezpečení vaší cloudové infrastruktury skenováním konfiguračních souborů nebo skriptů napsaných v konkrétních jazycích jako Terraform, CloudFormation, Kubernetes YAML atd., před nasazením.

Interaktivní testování bezpečnosti aplikací (IAST) je metoda, která kombinuje SAST (Statické testování bezpečnosti aplikací) a DAST (Dynamické testování bezpečnosti aplikací) pro efektivnější nalezení zranitelností aplikací.

Detekce malwaru znamená nalezení a blokování škodlivého softwaru, jako jsou viry, ransomware, spyware a trojské koně na systémech, sítích a aplikacích.

MTTR je klíčová metrika kybernetické bezpečnosti, která ukazuje, jak rychle reagujete na známou hrozbu

Vícefaktorová autentizace je bezpečnostní metoda, která vyžaduje dva nebo více typů ověření pro přístup k aplikaci nebo systému. MFA přidává další vrstvu ochrany, takže se nespoléháte pouze na heslo.

NVD je hlavní světové úložiště dat o zranitelnostech, které spravuje NIST. Obohacuje identifikátory CVE o skóre závažnosti CVSS, klasifikace CWE a podrobné technické popisy.

Audit open source je komplexní přezkum všech open-source komponent používaných v softwarové aplikaci

OWASP Top 10 uvádí nejzávažnější zranitelnosti webových aplikací. OWASP také nabízí užitečné zdroje, aby se vývojáři a bezpečnostní týmy mohli naučit, jak tyto problémy najít, opravit a předcházet jim v dnešních aplikacích.

Phishing je typ útoku sociálního inženýrství, při kterém se útočníci vydávají za důvěryhodné entity, jako jsou banky, cloudové služby, kolegové atd., aby obelstili oběť a přiměli ji odhalit její citlivé informace, jako jsou hesla, čísla kreditních karet nebo jiné přihlašovací údaje.

RBAC je metoda správy bezpečnosti systému přiřazováním uživatelů ke specifickým rolím v rámci organizace. Každá role má vlastní sadu oprávnění, která určují, jaké akce mohou uživatelé v této roli provádět.

Reverzní shell je vzdálený shell, kde počítač oběti zahajuje připojení k počítači útočníka.

SBOM je podrobný inventář komponent, které tvoří software, včetně knihoven třetích stran a open-source knihoven a verzí frameworků.

Detekce tajemství je proces skenování kódových základů, CI/CD pipeline a cloudu za účelem identifikace odhalených tajemství, jako jsou API klíče, přihlašovací údaje, šifrovací klíče nebo tokeny. To je klíčové, protože útočníci, jako jsou boti pro vyplňování přihlašovacích údajů nebo únosci cloudových zdrojů, mohou tato odhalená tajemství zneužít k získání neoprávněného přístupu.

Náprava znamená opravu nebo odstranění slabin v systémech organizace, aby byly bezpečné a snížilo se riziko.

Analýza složení softwaru (SCA) je bezpečnostní proces, který identifikuje a spravuje rizika v knihovnách třetích stran používaných v aplikacích.

Životní cyklus vývoje softwaru, nebo SDLC, je proces, který pomáhá vývojovým týmům plánovat, navrhovat, vytvářet, testovat a spouštět aplikace organizovaným způsobem.

Bezpečnost softwarového dodavatelského řetězce se týká udržení bezpečnosti každé části, procesu a nástroje během vývoje softwaru, od prvního řádku kódu až po finální nasazení.

SQL Injection (SQLi) je typ útoku, při kterém útočníci vloží škodlivý SQL příkaz do vstupního pole, aby manipulovali s databází.

SSDLC (Secure Software Development Life Cycle) je rozšířením tradičního SDLC, které integruje bezpečnostní praktiky do každé fáze vývoje softwaru—návrh, kódování, testování, nasazení a údržba. Jeho cílem je identifikovat a řešit zranitelnosti včas, čímž se snižují náklady na opravy a zajišťují bezpečnější aplikace.

SAST je typ testování bezpečnosti aplikací, který kontroluje zdrojový kód aplikace (původní kód napsaný vývojáři), závislosti (externí knihovny nebo balíčky, na které se kód spoléhá) nebo binární soubory (zkompilovaný kód připravený k běhu) před jeho spuštěním.

Cross-Site Scripting, nebo XSS, je bezpečnostní chyba na webových stránkách, která umožňuje útočníkům přidávat škodlivé skripty na webové stránky. Většinou jsou tyto skripty napsány v JavaScriptu.

Zero Trust je koncept kybernetické bezpečnosti, který předpokládá, že žádné zařízení, uživatel nebo aplikace by neměly být důvěryhodné, i když jsou uvnitř síťového perimetru. Přístup je udělen pouze po ověření zdraví zařízení, identity a kontextu.

Zranitelnost nultého dne je softwarová bezpečnostní chyba, kterou dodavatel nebo vývojář právě objevil, takže neměli čas vytvořit nebo vydat opravu. Protože zatím neexistuje žádná oprava, mohou kyberzločinci využít těchto chyb k zahájení útoků, které je těžké odhalit a zastavit.

Dvoufaktorové ověřování (2FA) je bezpečnostní metoda, která vyžaduje, aby uživatelé poskytli dva typy ověřovacích faktorů k potvrzení své identity. Je považováno za podmnožinu MFA, protože MFA (vícefaktorové ověřování) může zahrnovat dva nebo více ověřovacích faktorů, zatímco 2FA znamená konkrétně dva.