Ordliste

Varslingstretthet er det som skjer når sikkerhets- eller operasjonsteam blir oversvømmet med varsler hver dag. Over tid blir folk slitne, stresset og begynner å ignorere dem.

API-sikkerhet er prosessen med å beskytte API-er, delene av moderne programvare som lar applikasjoner kommunisere, mot uautorisert tilgang, misbruk eller angrep.

API-sikkerhetstesting finner og fikser sårbarheter som ødelagt autentisering eller datalekkasjer i API-er, essensielt for å beskytte moderne apper og sensitiv data.

Applikasjonssikkerhet er praksisen med å beskytte programvare mot sårbarheter og angrep gjennom hele SDLC. Lær om dens betydning, vanlige trusler og livssykluspraksis for å sikre moderne applikasjoner i sky- og container-miljøer.

En applikasjonssikkerhetsvurdering er prosessen med å identifisere og fikse sårbarheter i programvare. Lær om dens mål, komponenter, vanlige verktøy og utfordringer for å beskytte applikasjoner mot cybertrusler.

Livssyklusen for applikasjonssikkerhet integrerer sikkerhet i hver fase av programvareutviklingen—fra planlegging og design til distribusjon og vedlikehold. Lær om dens stadier, beste praksis, og hvorfor det er kritisk for å beskytte moderne applikasjoner.

Application Security Posture Management (ASPM) er en plattform som gir organisasjoner fullstendig oversikt og kontroll over deres applikasjonssikkerhetsrisikoer gjennom hele programvarelivssyklusen.

Applikasjonssikkerhetstesting (AST) betyr å sjekke applikasjoner for svakheter som angripere kan utnytte. Vanlige AST-metoder inkluderer SAST, DAST og IAST, som hjelper med å holde programvare sikker i alle utviklingsstadier.

CI Gating er en automatisert "stopp-linjen"-mekanisme i utviklingspipen. Den evaluerer kode mot sikkerhets- og kvalitetsregler, og blokkerer enhver commit som ikke oppfyller kravene

En CI/CD-rørledning er en automatisert prosess for å ta kode fra en utviklers laptop og trygt sende den til brukere. Den bygger koden, tester den og distribuerer den uten å stole på manuelle trinn.

CI/CD-sikkerhet er prosessen med å integrere sikkerhet i Continuous Integration og Continuous Deployment (CI/CD) pipeline, fra commit til utrulling

Cloud Security Posture Management (CSPM) er en sikkerhetsmetode og verktøysett som kontinuerlig overvåker sky-miljøet for å oppdage og fikse feilkonstruksjoner, samsvarsbrudd og sikkerhetsrisiko på skyplattformer som AWS, Azure eller Google Cloud.

CNAPP (Cloud-Native Application Protection Platform) er en enhetlig sikkerhetsmodell. Den kombinerer Cloud Security Posture Management (CSPM), Cloud Workload Protection (CWPP), Cloud Infrastructure Entitlement Management (CIEM), og Application Security Posture Management (ASPM).

CVE står for Common Vulnerabilities and Exposures. Det er et system som holder oversikt over cybersikkerhetssårbarheter som allerede er kjent for offentligheten.

Container sikkerhet er prosessen med å beskytte containeriserte applikasjoner (som kjører på Docker eller Kubernetes) gjennom hele deres livssyklus, fra bygging til kjøring.

CVSS er en standard måte å si hvor alvorlig en sikkerhetsfeil er. Den gir hver sårbarhet en poengsum fra 0 til 10 slik at team vet hva de skal fikse først.

DevSecOps er en arbeidsmetode som legger til sikkerhet i hvert trinn av DevOps-prosessen, fra koding og testing til distribusjon og vedlikehold

En enkel forklaring på Docker-containere, hvordan de fungerer, og hvorfor utviklere bruker dem for å kjøre apper konsekvent på tvers av miljøer.

Dynamisk applikasjonssikkerhetstesting, eller DAST, er en måte å sjekke en applikasjons sikkerhet mens den kjører. I motsetning til SAST, som ser på kildekoden, tester DAST sikkerhet ved å simulere ekte angrep som SQL Injection og Cross-Site Scripting (XSS) i et levende miljø.

Exploit Prediction Scoring System (EPSS) er en datadrevet standard som estimerer sannsynligheten for at en spesifikk programvaresårbarhet vil bli utnyttet i det fri.

En falsk positiv er når et sikkerhetsverktøy rapporterer et problem som faktisk ikke eksisterer.

Sikkerhet for infrastruktur som kode (IaC) er prosessen med å sikre din skyinfrastruktur ved å skanne konfigurasjonsfiler eller skript skrevet i spesifikke språk som Terraform, CloudFormation, Kubernetes YAML, etc., før distribusjon.

Interaktiv Applikasjonssikkerhetstesting (IAST) er en metode som kombinerer SAST (Statisk Applikasjonssikkerhetstesting) og DAST (Dynamisk Applikasjonssikkerhetstesting) for å finne applikasjonssårbarheter mer effektivt.

Malwaredeteksjon betyr å finne og blokkere skadelig programvare som virus, løsepengevirus, spionprogrammer og trojanere på systemer, nettverk og applikasjoner.

MTTR er en viktig cybersikkerhetsmetrisk som viser hvor raskt du reagerer på en kjent trussel

Multi-faktor autentisering er en sikkerhetsmetode som krever to eller flere typer verifikasjon for å få tilgang til en applikasjon eller et system. MFA legger til et ekstra lag med beskyttelse, slik at du ikke bare stoler på et passord

NVD er verdens primære lager for sårbarhetsdata vedlikeholdt av NIST. Den beriker CVE-identifikatorer med CVSS alvorlighetsgrader, CWE-klassifikasjoner og detaljerte tekniske beskrivelser.

Åpen kildekode-revisjon er en omfattende gjennomgang av alle åpen kildekode-komponenter brukt i en programvareapplikasjon

OWASP Topp 10 lister de mest alvorlige sårbarhetene i webapplikasjoner. OWASP tilbyr også nyttige ressurser slik at utviklere og sikkerhetsteam kan lære hvordan de finner, fikser og forhindrer disse problemene i dagens applikasjoner.

Phishing er en type sosial ingeniørangrep hvor angripere utgir seg for å være pålitelige enheter som banker, skytjenester, kollegaer, etc. for å lure offeret til å avsløre sensitiv informasjon som passord, kredittkortnummer eller andre legitimasjoner.

RBAC er en metode for å administrere systemsikkerhet ved å tildele brukere til spesifikke roller innen en organisasjon. Hver rolle har sitt eget sett med tillatelser, som bestemmer hvilke handlinger brukere i den rollen har lov til å utføre.

En reverse shell er et eksternt skall hvor offerets datamaskin starter tilkoblingen til angriperens datamaskin.

SBOM er en detaljert inventarliste over komponentene som utgjør en programvare, inkludert tredjeparts- og åpen kildekode-biblioteker, og rammeversjonsnummer.

Hemmelighetsdeteksjon er prosessen med å skanne kodebaser, CI/CD-pipelines og skyen for å identifisere eksponerte hemmeligheter som API-nøkler, legitimasjon, krypteringsnøkler eller tokens. Dette er avgjørende fordi angripere, som legitimasjonsfyllingsroboter eller skyressurshackere, kan utnytte disse eksponerte hemmelighetene for å få uautorisert tilgang.

Utbedring betyr å fikse eller fjerne svakheter i en organisasjons systemer for å gjøre dem sikre og redusere risiko.

Software Composition Analysis (SCA) er en sikkerhetsprosess som identifiserer og håndterer risikoer i tredjepartsbiblioteker brukt i applikasjoner

Software Development Life Cycle, eller SDLC, er en prosess som hjelper utviklingsteam med å planlegge, designe, bygge, teste og lansere applikasjoner på en organisert måte.

Programvareforsyningskjede-sikkerhet handler om å holde hver del, prosess og verktøy trygt gjennom hele programvareutviklingen, fra den første kodelinjen til endelig distribusjon.

SQL Injection (SQLi) er en type angrep hvor angripere legger inn skadelige SQL-setninger i et inndatafelt for å manipulere databasen.

SSDLC (Secure Software Development Life Cycle) er en utvidelse av den tradisjonelle SDLC som integrerer sikkerhetspraksis i alle stadier av programvareutvikling—design, koding, testing, distribusjon og vedlikehold. Målet er å identifisere og adressere sårbarheter tidlig, redusere kostbare feilrettinger og sikre mer sikre applikasjoner.

SAST er en type applikasjonssikkerhetstesting som sjekker en applikasjons kildekode (den opprinnelige koden skrevet av utviklere), avhengigheter (eksterne biblioteker eller pakker koden er avhengig av), eller binærfiler (kompilert kode klar til å kjøre) før den kjøres.

Cross-Site Scripting, eller XSS, er en sikkerhetsfeil på nettsteder som lar angripere legge til skadelige skript på nettsider. Som oftest er disse skriptene skrevet i JavaScript.

Zero Trust er et cybersikkerhetskonsept som antar at ingen enhet, bruker eller applikasjon skal stoles på, selv om de er innenfor nettverksperimeteret. Tilgang gis kun etter verifisering av enhetens helse, identitet og kontekst.

Zero-day sårbarhet er en programvaresikkerhetsfeil som leverandøren eller utvikleren nettopp har oppdaget, så de har ikke hatt tid til å lage eller utgi en oppdatering. Siden det ennå ikke finnes noen løsning, kan nettkriminelle utnytte disse feilene til å lansere angrep som er vanskelige å oppdage og stoppe.

Tofaktorautentisering (2FA) er en sikkerhetsmetode som krever at brukere gir to typer autentiseringsfaktorer for å bekrefte sin identitet. Det regnes som en delmengde av MFA, siden MFA (Multifaktorautentisering) kan involvere to eller flere verifikasjonsfaktorer, mens 2FA spesifikt betyr nøyaktig to.