Sözlük

Uyarı yorgunluğu, güvenlik veya operasyon ekiplerinin her gün uyarı yağmuruna tutulduğunda meydana gelir. Zamanla, insanlar yorulur, stres olur ve onları görmezden gelmeye başlar.

API güvenliği, uygulamaların iletişim kurmasına olanak tanıyan modern yazılım parçalarını yetkisiz erişim, kötüye kullanım veya saldırılardan koruma sürecidir.

API Güvenlik Testi, modern uygulamaları ve hassas verileri korumak için API'lerdeki kimlik doğrulama hataları veya veri sızıntıları gibi güvenlik açıklarını bulur ve düzeltir.

Uygulama güvenliği, yazılımı tüm SDLC boyunca güvenlik açıklarından ve saldırılardan koruma uygulamasıdır. Bulut ve konteyner ortamlarında modern uygulamaları güvence altına almak için önemi, yaygın tehditler ve yaşam döngüsü uygulamalarını öğrenin.

Uygulama güvenliği değerlendirmesi, yazılımdaki güvenlik açıklarını belirleme ve düzeltme sürecidir. Uygulamaları siber tehditlerden korumak için hedeflerini, bileşenlerini, yaygın araçlarını ve zorluklarını öğrenin.

Uygulama güvenliği yaşam döngüsü, güvenliği yazılım geliştirme sürecinin her aşamasına entegre eder—planlama ve tasarımdan dağıtım ve bakıma kadar. Aşamalarını, en iyi uygulamaları ve modern uygulamaları korumak için neden kritik olduğunu öğrenin.

Uygulama Güvenliği Duruş Yönetimi (ASPM), kuruluşlara yazılım yaşam döngüsü boyunca uygulama güvenlik riskleri üzerinde tam görünürlük ve kontrol sağlayan bir platformdur.

Uygulama Güvenliği Testi (AST), saldırganların kullanabileceği zayıflıkları kontrol etmek anlamına gelir. Yaygın AST yöntemleri arasında SAST, DAST ve IAST bulunur ve bu yöntemler yazılımı geliştirme sürecinin her aşamasında güvenli tutmaya yardımcı olur.

CI Geçişi, geliştirme hattında otomatik bir "hattı durdurma" mekanizmasıdır. Güvenlik ve kalite politikalarına karşı kodu değerlendirir, belirlenen standartları karşılamayan herhangi bir taahhüdü engeller

Bir CI/CD boru hattı, kodu bir geliştiricinin dizüstü bilgisayarından alıp güvenli bir şekilde kullanıcılara ulaştıran otomatik bir süreçtir. Kodu derler, test eder ve manuel adımlara güvenmeden dağıtır.

CI/CD Güvenliği, güvenliğin Sürekli Entegrasyon ve Sürekli Dağıtım (CI/CD) hattına, taahhütten dağıtıma kadar entegre edilmesi sürecidir.

Bulut Güvenliği Duruş Yönetimi (CSPM), AWS, Azure veya Google Cloud gibi bulut platformlarındaki yanlış yapılandırmaları, uyumluluk ihlallerini ve güvenlik risklerini tespit etmek ve düzeltmek için bulut ortamını sürekli izleyen bir güvenlik yöntemi ve araç setidir.

CNAPP (Bulut Yerel Uygulama Koruma Platformu), birleşik bir güvenlik modelidir. Bulut Güvenlik Duruş Yönetimi (CSPM), Bulut İş Yükü Koruma (CWPP), Bulut Altyapı Yetki Yönetimi (CIEM) ve Uygulama Güvenlik Duruş Yönetimi (ASPM) birleştirir.

CVE, Ortak Güvenlik Açıkları ve Etkilenmeler anlamına gelir. Kamuya zaten bilinen siber güvenlik açıklarını takip eden bir sistemdir.

Konteyner Güvenliği, konteynerleştirilmiş uygulamaların (Docker veya Kubernetes üzerinde çalışan) tüm yaşam döngüsü boyunca, derlemeden çalıştırmaya kadar korunması sürecidir.

CVSS, bir güvenlik açığının ne kadar kötü olduğunu belirtmenin standart bir yoludur. Her güvenlik açığına 0'dan 10'a kadar bir puan verir, böylece ekipler önce neyi düzelteceklerini bilirler.

DevSecOps, güvenliği kodlama ve test etmeden başlayarak dağıtım ve bakıma kadar DevOps sürecinin her adımına ekleyen bir çalışma şeklidir.

Docker konteynerlerinin basit bir açıklaması, nasıl çalıştıkları ve geliştiricilerin uygulamaları tutarlı bir şekilde çalıştırmak için neden onları kullandıkları.

Dinamik uygulama güvenlik testi veya DAST, bir uygulamanın çalışırken güvenliğini kontrol etmenin bir yoludur. Kaynak kodunu inceleyen SAST'tan farklı olarak, DAST güvenliği SQL Enjeksiyonu ve Siteler Arası Betik Çalıştırma (XSS) gibi gerçek saldırıları canlı bir ortamda simüle ederek test eder.

Exploit Prediction Scoring System (EPSS), belirli bir yazılım açığının vahşi doğada istismar edilme olasılığını tahmin eden veri odaklı bir standarttır.

Yanlış pozitif, bir güvenlik aracının aslında var olmayan bir sorunu bildirmesidir.

Kod Olarak Altyapı (IaC) güvenliği, Terraform, CloudFormation, Kubernetes YAML gibi belirli dillerde yazılmış yapılandırma dosyalarını veya komut dosyalarını dağıtımdan önce tarayarak bulut altyapınızı güvence altına alma işlemidir.

Etkileşimli Uygulama Güvenliği Testi (IAST), uygulama güvenlik açıklarını daha etkili bir şekilde bulmak için SAST (Statik Uygulama Güvenliği Testi) ve DAST (Dinamik Uygulama Güvenliği Testi) yöntemlerini birleştiren bir yöntemdir.

Kötü amaçlı yazılım tespiti, sistemlerde, ağlarda ve uygulamalarda virüsler, fidye yazılımları, casus yazılımlar ve truva atları gibi zararlı yazılımları bulmak ve engellemek anlamına gelir.

MTTR, bilinen bir tehdide ne kadar hızlı yanıt verdiğinizi gösteren önemli bir siber güvenlik metriğidir

Çok faktörlü kimlik doğrulama, bir uygulama veya sisteme erişim sağlamak için iki veya daha fazla türde doğrulama gerektiren bir güvenlik yöntemidir. MFA, yalnızca bir parolaya güvenmemeniz için ekstra bir koruma katmanı ekler.

NVD, NIST tarafından sürdürülen dünyanın birincil güvenlik açığı veri deposudur. CVE tanımlayıcılarını CVSS şiddet puanları, CWE sınıflandırmaları ve ayrıntılı teknik açıklamalarla zenginleştirir.

Açık Kaynak Denetimi, bir yazılım uygulamasında kullanılan tüm açık kaynak bileşenlerinin kapsamlı bir incelemesidir.

OWASP Top 10, en ciddi web uygulama güvenlik açıklarını listeler. OWASP ayrıca geliştiricilerin ve güvenlik ekiplerinin bu sorunları günümüz uygulamalarında nasıl bulacaklarını, düzelteceklerini ve önleyeceklerini öğrenmeleri için faydalı kaynaklar sunar.

Oltalama, saldırganların bankalar, bulut hizmetleri, iş arkadaşları gibi güvenilir varlıklar olarak kendilerini göstererek kurbanı şifre, kredi kartı numarası veya diğer kimlik bilgileri gibi hassas bilgilerini açıklamaya kandırdığı bir sosyal mühendislik saldırısı türüdür.

RBAC, bir organizasyonda kullanıcılara belirli roller atayarak sistem güvenliğini yönetme yöntemidir. Her rol, o roldeki kullanıcıların hangi eylemleri gerçekleştirebileceğini belirleyen kendi izin setiyle gelir.

Ters kabuk, kurbanın bilgisayarının saldırganın bilgisayarına bağlantı başlattığı bir uzaktan kabuktur.

SBOM, bir yazılımı oluşturan bileşenlerin, üçüncü taraf ve açık kaynak kütüphaneler ile çerçeve sürümlerini içeren ayrıntılı envanteridir.

Gizli algılama, API anahtarları, kimlik bilgileri, şifreleme anahtarları veya jetonlar gibi ifşa edilmiş gizli bilgileri tanımlamak için kod tabanlarını, CI/CD hatlarını ve bulutu tarama sürecidir. Bu, kimlik bilgisi doldurma botları veya bulut kaynaklarını ele geçiren saldırganlar gibi saldırganların, bu ifşa edilmiş gizli bilgileri kullanarak yetkisiz erişim elde edebileceği için önemlidir.

İyileştirme, bir kuruluşun sistemlerindeki zayıflıkları gidermek veya kaldırmak, onları güvenli hale getirmek ve riski azaltmak anlamına gelir.

Yazılım Bileşimi Analizi (SCA), uygulama içinde kullanılan üçüncü taraf kütüphanelerdeki riskleri tanımlayan ve yöneten bir güvenlik sürecidir.

Yazılım Geliştirme Yaşam Döngüsü veya SDLC, geliştirme ekiplerinin uygulamaları planlı, tasarımlı, inşa etme, test etme ve organize bir şekilde başlatmalarına yardımcı olan bir süreçtir.

Yazılım tedarik zinciri güvenliği, yazılım geliştirme sürecinde ilk kod satırından son dağıtıma kadar her parçayı, süreci ve aracı güvende tutmakla ilgilidir.

SQL Enjeksiyonu (SQLi), saldırganların veritabanını manipüle etmek için giriş alanına kötü niyetli SQL ifadeleri girdiği bir saldırı türüdür.

SSDLC (Güvenli Yazılım Geliştirme Yaşam Döngüsü), geleneksel SDLC'nin bir uzantısı olup, yazılım geliştirme sürecinin her aşamasına—tasarım, kodlama, test, dağıtım ve bakım—güvenlik uygulamalarını entegre eder. Amacı, güvenlik açıklarını erken aşamada belirleyip ele alarak maliyetli düzeltmeleri azaltmak ve daha güvenli uygulamalar sağlamaktır.

SAST, bir uygulamanın kaynak kodunu (geliştiriciler tarafından yazılan orijinal kod), bağımlılıklarını (kodun güvendiği harici kütüphaneler veya paketler) veya çalıştırılmaya hazır derlenmiş kodlarını (ikili dosyalar) çalıştırılmadan önce kontrol eden bir tür uygulama güvenlik testidir.

Çapraz Site Betikleme veya XSS, saldırganların web sayfalarına zararlı betikler eklemesine olanak tanıyan bir web sitesi güvenlik açığıdır. Çoğu zaman, bu betikler JavaScript ile yazılır.

Sıfır Güven, ağ çevresi içinde olsa bile hiçbir cihaz, kullanıcı veya uygulamanın güvenilmemesi gerektiğini varsayan bir siber güvenlik konseptidir. Erişim, cihaz sağlığı, kimlik ve bağlam doğrulandıktan sonra verilir.

Sıfırıncı Gün Açığı, satıcının veya geliştiricinin yeni keşfettiği bir yazılım güvenlik açığıdır, bu nedenle bir yama oluşturmak veya yayınlamak için herhangi bir zamanları olmamıştır. Henüz bir düzeltme olmadığı için, siber suçlular bu açıkları tespit edilmesi ve durdurulması zor saldırılar başlatmak için kullanabilirler.

İki Faktörlü Kimlik Doğrulama (2FA), kullanıcıların kimliklerini doğrulamak için iki tür kimlik doğrulama faktörü sağlamalarını gerektiren bir güvenlik yöntemidir. MFA'nın (Çok Faktörlü Kimlik Doğrulama) bir alt kümesi olarak kabul edilir, çünkü MFA iki veya daha fazla doğrulama faktörünü içerebilirken, 2FA özellikle tam olarak iki faktör anlamına gelir.