Glossário

A fadiga de alertas ocorre quando as equipes de segurança ou operações são inundadas com alertas todos os dias. Com o tempo, as pessoas ficam cansadas, estressadas e começam a ignorá-los.

A segurança de API é o processo de proteger APIs, as partes do software moderno que permitem a comunicação entre aplicações, contra acesso não autorizado, abuso ou ataques.

O Teste de Segurança de API encontra e corrige vulnerabilidades como autenticação quebrada ou vazamentos de dados em APIs, essencial para proteger aplicativos modernos e dados sensíveis.

Segurança de aplicações é a prática de proteger software contra vulnerabilidades e ataques ao longo de todo o SDLC. Aprenda sua importância, ameaças comuns e práticas de ciclo de vida para proteger aplicações modernas em ambientes de nuvem e contêineres.

Uma avaliação de segurança de aplicações é o processo de identificar e corrigir vulnerabilidades em software. Aprenda seus objetivos, componentes, ferramentas comuns e desafios para proteger aplicações contra ameaças cibernéticas.

O ciclo de vida da segurança de aplicações integra a segurança em todas as fases do desenvolvimento de softwaredesde o planejamento e design até a implantação e manutenção. Aprenda suas etapas, melhores práticas e por que é crítico para proteger aplicações modernas.

O Gerenciamento de Postura de Segurança de Aplicações (ASPM) é uma plataforma que oferece às organizações visibilidade e controle completos sobre os riscos de segurança de suas aplicações ao longo de todo o ciclo de vida do software.

Teste de Segurança de Aplicações (AST) significa verificar aplicações em busca de vulnerabilidades que atacantes poderiam explorar. Métodos comuns de AST incluem SAST, DAST e IAST, que ajudam a manter o software seguro em cada estágio do desenvolvimento.

O Controle de CI é um mecanismo automatizado de "parar a linha" no pipeline de desenvolvimento. Ele avalia o código em relação a políticas de segurança e qualidade, bloqueando qualquer commit que não atenda aos critérios

Um pipeline CI/CD é um processo automatizado para levar o código do laptop de um desenvolvedor e enviá-lo com segurança para os usuários. Ele compila o código, testa-o e o implanta sem depender de etapas manuais.

A segurança CI/CD é o processo de integrar segurança no pipeline de Integração Contínua e Implantação Contínua (CI/CD), desde o commit até a implantação

O Gerenciamento de Postura de Segurança na Nuvem (CSPM) é um método de segurança e conjunto de ferramentas que monitora continuamente o ambiente de nuvem para detectar e corrigir configurações incorretas, violações de conformidade e riscos de segurança em plataformas de nuvem como AWS, Azure ou Google Cloud

CNAPP (Plataforma de Proteção de Aplicações Nativas da Nuvem) é um modelo de segurança unificado. Combina Gerenciamento de Postura de Segurança na Nuvem (CSPM), Proteção de Carga de Trabalho na Nuvem (CWPP), Gerenciamento de Direitos de Infraestrutura na Nuvem (CIEM) e Gerenciamento de Postura de Segurança de Aplicações (ASPM).

CVE significa Common Vulnerabilities and Exposures. É um sistema que rastreia vulnerabilidades de cibersegurança já conhecidas pelo público.

Segurança de Contêineres é o processo de proteger aplicações containerizadas (executando no Docker ou Kubernetes) ao longo de todo o seu ciclo de vida, desde a construção até a execução.

CVSS é uma maneira padrão de dizer quão grave é uma falha de segurança. Ele atribui a cada vulnerabilidade uma pontuação de 0 a 10 para que as equipes saibam o que corrigir primeiro.

DevSecOps é uma forma de trabalhar que adiciona segurança a cada etapa do processo DevOps, começando com codificação e teste e continuando através de implantação e manutenção

Uma explicação simples dos contêineres Docker, como eles funcionam e por que os desenvolvedores os usam para executar aplicativos de forma consistente em diferentes ambientes.

Teste dinâmico de segurança de aplicações, ou DAST, é uma maneira de verificar a segurança de uma aplicação enquanto ela está em execução. Ao contrário do SAST, que analisa o código-fonte, o DAST testa a segurança simulando ataques reais como Injeção de SQL e Cross-Site Scripting (XSS) em um ambiente ao vivo.

O Sistema de Pontuação de Previsão de Exploração (EPSS) é um padrão orientado por dados que estima a probabilidade de que uma vulnerabilidade de software específica seja explorada em campo.

Um falso positivo é quando uma ferramenta de segurança relata um problema que na verdade não existe.

A segurança de Infraestrutura como Código (IaC) é o processo de proteger sua infraestrutura de nuvem ao escanear os arquivos de configuração ou scripts escritos em linguagens específicas como Terraform, CloudFormation, Kubernetes YAML, etc., antes da implantação.

O Teste de Segurança de Aplicações Interativas (IAST) é um método que combina SAST (Teste de Segurança de Aplicações Estáticas) e DAST (Teste de Segurança de Aplicações Dinâmicas) para encontrar vulnerabilidades em aplicações de forma mais eficaz.

Detecção de malware significa encontrar e bloquear software nocivo, como vírus, ransomware, spyware e trojans em sistemas, redes e aplicações.

MTTR é uma métrica chave de cibersegurança que mostra quão rapidamente você responde a uma ameaça conhecida

A autenticação multifator é um método de segurança que requer dois ou mais tipos de verificação para acessar um aplicativo ou sistema. O MFA adiciona uma camada extra de proteção, para que você não dependa apenas de uma senha.

O NVD é o principal repositório mundial de dados de vulnerabilidades mantido pelo NIST. Ele enriquece os identificadores CVE com pontuações de severidade CVSS, classificações CWE e descrições técnicas detalhadas.

Auditoria de Código Aberto é uma revisão abrangente de todos os componentes de código aberto usados dentro de uma aplicação de software

O OWASP Top 10 lista as vulnerabilidades mais sérias em aplicações web. OWASP também oferece recursos úteis para que desenvolvedores e equipes de segurança possam aprender a encontrar, corrigir e prevenir esses problemas nas aplicações atuais.

Phishing é um tipo de ataque de engenharia social onde os atacantes se passam por entidades confiáveis, como bancos, serviços de nuvem, colegas de trabalho, etc., para enganar a vítima e fazê-la revelar suas informações sensíveis, como senha, número de cartão de crédito ou outras credenciais.

RBAC é um método para gerenciar a segurança do sistema, atribuindo usuários a funções específicas dentro de uma organização. Cada função possui seu próprio conjunto de permissões, que determina quais ações os usuários nessa função podem realizar.

Um shell reverso é um shell remoto onde o computador da vítima inicia a conexão com o computador do atacante.

SBOM é um inventário detalhado dos componentes que compõem um software, incluindo bibliotecas de terceiros e de código aberto, e versão do framework.

A detecção de segredos é o processo de escanear bases de código, pipelines CI/CD e a nuvem para identificar segredos expostos, como chaves de API, credenciais, chaves de criptografia ou tokens. Isso é crucial porque atacantes, como bots de preenchimento de credenciais ou sequestradores de recursos em nuvem, podem explorar esses segredos expostos para obter acesso não autorizado.

Remediação significa corrigir ou remover fraquezas nos sistemas de uma organização para torná-los seguros e reduzir riscos.

A Análise de Composição de Software (SCA) é um processo de segurança que identifica e gerencia riscos em bibliotecas de terceiros usadas dentro de uma aplicação

O Ciclo de Vida de Desenvolvimento de Software, ou SDLC, é um processo que ajuda as equipes de desenvolvimento a planejar, projetar, construir, testar e lançar aplicações de maneira organizada.

A segurança da cadeia de suprimentos de software trata de manter cada parte, processo e ferramenta seguros durante o desenvolvimento de software, desde a primeira linha de código até a implantação final.

Injeção de SQL (SQLi) é um tipo de ataque onde atacantes inserem declarações SQL maliciosas em campos de entrada para manipular o banco de dados.

SSDLC (Ciclo de Vida de Desenvolvimento de Software Seguro) é uma extensão do SDLC tradicional que incorpora práticas de segurança em cada estágio do desenvolvimento de software—design, codificação, teste, implantação e manutenção. Seu objetivo é identificar e abordar vulnerabilidades precocemente, reduzindo correções dispendiosas e garantindo aplicações mais seguras.

SAST é um tipo de teste de segurança de aplicações que verifica o código-fonte de uma aplicação (o código original escrito pelos desenvolvedores), dependências (bibliotecas ou pacotes externos dos quais o código depende) ou binários (código compilado pronto para execução) antes de ser executado.

Cross-Site Scripting, ou XSS, é uma falha de segurança em sites que permite que invasores adicionem scripts nocivos a páginas da web. Na maioria das vezes, esses scripts são escritos em JavaScript.

Zero Trust é um conceito de cibersegurança que assume que nenhum dispositivo, usuário ou aplicativo deve ser confiável, mesmo dentro do perímetro da rede. O acesso é concedido apenas após verificação da saúde do dispositivo, identidade e contexto.

Vulnerabilidade Zero-Day é uma falha de segurança de software que o fornecedor ou desenvolvedor acabou de descobrir, portanto, não tiveram tempo de criar ou lançar um patch. Como ainda não há correção, os cibercriminosos podem aproveitar essas falhas para lançar ataques que são difíceis de detectar e parar.

A Autenticação de Dois Fatores (2FA) é um método de segurança que exige que os usuários forneçam dois tipos de fatores de autenticação para confirmar sua identidade. É considerada um subconjunto da MFA, já que a MFA (Autenticação Multifator) pode envolver dois ou mais fatores de verificação, enquanto 2FA significa especificamente exatamente dois.