Glosarium

Kelelahan peringatan adalah apa yang terjadi ketika tim keamanan atau operasi dibanjiri dengan peringatan setiap hari. Seiring waktu, orang menjadi lelah, stres, dan mulai mengabaikannya.

Keamanan API adalah proses melindungi API, bagian dari perangkat lunak modern yang memungkinkan aplikasi berkomunikasi, dari akses tidak sah, penyalahgunaan, atau serangan.

Pengujian Keamanan API menemukan dan memperbaiki kerentanan seperti otentikasi yang rusak atau kebocoran data dalam API, penting untuk melindungi aplikasi modern dan data sensitif.

Keamanan aplikasi adalah praktik melindungi perangkat lunak dari kerentanan dan serangan di seluruh SDLC. Pelajari pentingnya, ancaman umum, dan praktik siklus hidup untuk mengamankan aplikasi modern di lingkungan cloud dan kontainer.

Penilaian keamanan aplikasi adalah proses mengidentifikasi dan memperbaiki kerentanan dalam perangkat lunak. Pelajari tujuannya, komponen, alat umum, dan tantangan untuk melindungi aplikasi dari ancaman siber.

Siklus hidup keamanan aplikasi mengintegrasikan keamanan ke dalam setiap fase pengembangan perangkat lunak—dari perencanaan dan desain hingga penerapan dan pemeliharaan. Pelajari tahapannya, praktik terbaik, dan mengapa hal ini penting untuk melindungi aplikasi modern.

Manajemen Postur Keamanan Aplikasi (ASPM) adalah platform yang memberikan organisasi visibilitas dan kontrol penuh atas risiko keamanan aplikasi mereka di seluruh siklus hidup perangkat lunak.

Pengujian Keamanan Aplikasi (AST) berarti memeriksa aplikasi untuk kelemahan yang dapat digunakan penyerang. Metode AST umum termasuk SAST, DAST, dan IAST, yang membantu menjaga keamanan perangkat lunak di setiap tahap pengembangan.

CI Gating adalah mekanisme otomatis "stop-the-line" dalam pipeline pengembangan. Ini mengevaluasi kode terhadap kebijakan keamanan dan kualitas, memblokir setiap commit yang tidak memenuhi standar

Pipeline CI/CD adalah proses otomatis untuk mengambil kode dari laptop pengembang dan mengirimkannya dengan aman kepada pengguna. Ini membangun kode, mengujinya, dan menerapkannya tanpa mengandalkan langkah-langkah manual.

Keamanan CI/CD adalah proses mengintegrasikan keamanan ke dalam pipeline Continuous Integration dan Continuous Deployment (CI/CD), dari komit hingga penerapan

Manajemen Postur Keamanan Cloud (CSPM) adalah metode keamanan dan perangkat yang secara terus-menerus memantau lingkungan cloud untuk mendeteksi dan memperbaiki kesalahan konfigurasi, pelanggaran kepatuhan, dan risiko keamanan pada platform cloud seperti AWS, Azure, atau Google Cloud.

CNAPP (Cloud-Native Application Protection Platform) adalah model keamanan terpadu. Ini menggabungkan Manajemen Postur Keamanan Cloud (CSPM), Perlindungan Beban Kerja Cloud (CWPP), Manajemen Hak Infrastruktur Cloud (CIEM), dan Manajemen Postur Keamanan Aplikasi (ASPM).

CVE adalah singkatan dari Common Vulnerabilities and Exposures. Ini adalah sistem yang melacak kerentanan keamanan siber yang sudah diketahui publik.

Keamanan Kontainer adalah proses melindungi aplikasi yang dikontainerisasi (berjalan di Docker atau Kubernetes) di seluruh siklus hidupnya, dari pembuatan hingga runtime.

CVSS adalah cara standar untuk menyatakan seberapa parah sebuah bug keamanan. Ini memberikan setiap kerentanan skor dari 0 hingga 10 sehingga tim tahu apa yang harus diperbaiki terlebih dahulu.

DevSecOps adalah cara kerja yang menambahkan keamanan pada setiap langkah proses DevOps, mulai dari pengkodean dan pengujian hingga penerapan dan pemeliharaan

Penjelasan sederhana tentang kontainer Docker, cara kerjanya, dan mengapa pengembang menggunakannya untuk menjalankan aplikasi secara konsisten di berbagai lingkungan.

Dynamic application security testing, atau DAST, adalah cara untuk memeriksa keamanan aplikasi saat sedang berjalan. Berbeda dengan SAST, yang melihat kode sumber, DAST menguji keamanan dengan mensimulasikan serangan nyata seperti SQL Injection dan Cross-Site Scripting (XSS) dalam pengaturan langsung.

Sistem Penilaian Prediksi Eksploitasi (EPSS) adalah standar berbasis data yang memperkirakan kemungkinan bahwa kerentanan perangkat lunak tertentu akan dieksploitasi di alam liar.

Positif palsu adalah ketika alat keamanan melaporkan masalah yang sebenarnya tidak ada.

Keamanan Infrastruktur sebagai Kode (IaC) adalah proses mengamankan infrastruktur cloud Anda dengan memindai file konfigurasi atau skrip yang ditulis dalam bahasa tertentu seperti Terraform, CloudFormation, Kubernetes YAML, dll., sebelum penerapan.

Pengujian Keamanan Aplikasi Interaktif (IAST) adalah metode yang menggabungkan SAST (Pengujian Keamanan Aplikasi Statis) dan DAST (Pengujian Keamanan Aplikasi Dinamis) untuk menemukan kerentanan aplikasi dengan lebih efektif.

Deteksi malware berarti menemukan dan memblokir perangkat lunak berbahaya seperti virus, ransomware, spyware, dan trojan pada sistem, jaringan, dan aplikasi.

MTTR adalah metrik keamanan siber yang menunjukkan seberapa cepat Anda merespons ancaman yang diketahui

Otentikasi multi-faktor adalah metode keamanan yang memerlukan dua atau lebih jenis verifikasi untuk mengakses aplikasi atau sistem. MFA menambahkan lapisan perlindungan ekstra, sehingga Anda tidak hanya mengandalkan kata sandi

NVD adalah repositori utama dunia untuk data kerentanan yang dikelola oleh NIST. Ini memperkaya pengidentifikasi CVE dengan skor keparahan CVSS, klasifikasi CWE, dan deskripsi teknis yang terperinci.

Audit Sumber Terbuka adalah tinjauan menyeluruh dari semua komponen sumber terbuka yang digunakan dalam aplikasi perangkat lunak

OWASP Top 10 mencantumkan kerentanan aplikasi web yang paling serius. OWASP juga menawarkan sumber daya yang berguna sehingga pengembang dan tim keamanan dapat belajar bagaimana menemukan, memperbaiki, dan mencegah masalah ini dalam aplikasi saat ini.

Phishing adalah jenis serangan rekayasa sosial di mana penyerang berpura-pura sebagai entitas terpercaya seperti bank, layanan cloud, rekan kerja, dll untuk menipu korban agar mereka mengungkapkan informasi sensitif mereka seperti kata sandi, nomor kartu kredit, atau kredensial lainnya.

RBAC adalah metode untuk mengelola keamanan sistem dengan menetapkan pengguna ke peran tertentu dalam organisasi. Setiap peran memiliki serangkaian izin sendiri, yang menentukan tindakan apa yang diizinkan untuk dilakukan oleh pengguna dalam peran tersebut.

Reverse shell adalah shell jarak jauh di mana komputer korban memulai koneksi ke komputer penyerang.

SBOM adalah inventaris detail dari komponen yang membentuk sebuah perangkat lunak, termasuk pustaka pihak ketiga dan sumber terbuka, serta versi kerangka kerja.

Deteksi rahasia adalah proses memindai basis kode, pipeline CI/CD, dan cloud untuk mengidentifikasi rahasia yang terekspos seperti kunci API, kredensial, kunci enkripsi, atau token. Ini sangat penting karena penyerang, seperti bot pengisi kredensial atau pembajak sumber daya cloud, dapat mengeksploitasi rahasia yang terekspos ini untuk mendapatkan akses tanpa izin.

Remediasi berarti memperbaiki atau menghilangkan kelemahan dalam sistem organisasi untuk membuatnya aman dan mengurangi risiko.

Analisis Komposisi Perangkat Lunak (SCA) adalah proses keamanan untuk mengidentifikasi dan mengelola risiko dalam pustaka pihak ketiga yang digunakan dalam aplikasi

Siklus Hidup Pengembangan Perangkat Lunak, atau SDLC, adalah proses yang membantu tim pengembangan merencanakan, merancang, membangun, menguji, dan meluncurkan aplikasi secara terorganisir.

Keamanan rantai pasokan perangkat lunak adalah tentang menjaga setiap bagian, proses, dan alat tetap aman sepanjang pengembangan perangkat lunak, dari baris kode pertama hingga penerapan akhir.

SQL Injection (SQLi) adalah jenis serangan di mana penyerang memasukkan pernyataan SQL berbahaya ke dalam bidang input untuk memanipulasi database.

SSDLC (Secure Software Development Life Cycle) adalah perpanjangan dari SDLC tradisional yang memasukkan praktik keamanan ke dalam setiap tahap pengembangan perangkat lunak—desain, pengkodean, pengujian, penerapan, dan pemeliharaan. Tujuannya adalah untuk mengidentifikasi dan mengatasi kerentanan sejak dini, mengurangi perbaikan yang mahal, dan memastikan aplikasi yang lebih aman.

SAST adalah jenis pengujian keamanan aplikasi yang memeriksa kode sumber aplikasi (kode asli yang ditulis oleh pengembang), dependensi (perpustakaan eksternal atau paket yang digunakan oleh kode), atau biner (kode yang telah dikompilasi dan siap dijalankan) sebelum dijalankan.

Cross-Site Scripting, atau XSS, adalah kelemahan keamanan pada situs web yang memungkinkan penyerang menambahkan skrip berbahaya ke halaman web. Sebagian besar waktu, skrip ini ditulis dalam JavaScript.

Zero Trust adalah konsep keamanan siber yang mengasumsikan tidak ada perangkat, pengguna, atau aplikasi yang harus dipercaya, bahkan jika berada di dalam perimeter jaringan. Akses hanya diberikan setelah verifikasi kesehatan perangkat, identitas, dan konteks.

Kerentanan Zero-Day adalah cacat keamanan perangkat lunak yang baru saja ditemukan oleh vendor atau pengembang, sehingga mereka belum memiliki waktu untuk membuat atau merilis patch. Karena belum ada perbaikan, penjahat siber dapat memanfaatkan cacat ini untuk melancarkan serangan yang sulit dideteksi dan dihentikan.

Otentikasi Dua Faktor (2FA) adalah metode keamanan yang mengharuskan pengguna untuk memberikan dua jenis faktor otentikasi untuk mengonfirmasi identitas mereka. Ini dianggap sebagai subset dari MFA, karena MFA (Otentikasi Multi-Faktor) dapat melibatkan dua atau lebih faktor verifikasi, sementara 2FA secara khusus berarti tepat dua