Перейти к основному содержимому
Версия: 1.6

Термины и определения

Термин/АббревиатураОпределение
ДубликатПризнак того, что проблема безопасности повторяет ранее зафиксированную проблему
ИБИнформационная безопасность
ИИИскусственный интеллект
ИнтеграцияОбмен данными между системами с возможной последующей обработкой
ПОПрограммное обеспечение
Правило безопасности (ПБ)Правило, применяемое к проблемам безопасности проекта
Проблема безопасностиВыявленная уязвимость или иной дефект безопасности, зафиксированный по результатам сканирования или внесенный вручную
Проверка безопасностиСущность, объединяющая инструмент сканирования и источник сканирования; используется для запуска сканирования и получения результатов
ПроектСущность, которая создается авторизованным пользователем, чтобы логически объединить весь набор связанных приложений или компонентов, которые разрабатываются и поддерживаются в рамках одной команды или организации, и который нужно проверять на соответствие политикам безопасности компании и качество.
AD (Active Directory)Службы каталогов — это совокупности программных сервисов и баз данных (на базе Microsoft) для иерархического представления информационных ресурсов в сети и настройки доступа к ним.
API (Application Programming Interface)Программный интерфейс для взаимодействия между системами
ASOC (Application Security Orchestration and Correlation)Платформы или решения для оркестрации и корреляции безопасности приложений — это платформы, предназначенные для управления и координации безопасностью приложений, позволяют автоматизировать процессы обнаружения, анализа и реагирования на угрозы безопасности, связанные с приложениями.
AST (Application Security Testing)Тестирование безопасности приложений
CI/CD (Continuous Integration and Continuous Delivery/Deployment)Непрерывная интеграция и непрерывная поставка ПО
CLI (Command Line Interface)Интерфейс командной строки
Container SecurityБезопасность контейнеров — это подход к защите и безопасной настройке систем контейнеризации, общее понятие, охватывающее набор различных инструментов и методов для защиты контейнеров от возможных угроз и атак.
CVE (Common Vulnerabilities and Exposures)Общедоступный реестр известных уязвимостей ПО с уникальными идентификаторами
CVSS (Common Vulnerability Scoring System)Стандартизированная система оценки критичности уязвимости по шкале от 0 до 10
CWE (Common Weakness Enumeration)Классификатор ошибок в коде/архитектуре ПО, приводящих к уязвимостям
DAST (Dynamic Application Security Testing)Динамический анализ кода — это анализ программного обеспечения без доступа к исходному коду, реализуемый при помощи выполнения программ. Процесс тестирования приложений, имитирующий вредоносные внешние атаки, пытающиеся использовать распространенные уязвимости.
DevSecOps (Development Security Operations)Процесс безопасной разработки — это методология разработки программного обеспечения, которая интегрирует практики безопасности (Sec) в процессы разработки и поставки программного обеспечения (DevOps).
EULA (End User License Agreement)Лицензионное соглашение конечного пользователя
False-Positive (FP)Признак того, что проблема безопасности ошибочно определена инструментом как реальная угроза
GRC (Governance, Risk and Compliance)Управление, риски и соответствие требованиям
IaC (Infrastructure-as-Code)Инфраструктура как код — это подход к созданию и управлению инфраструктурой через использование кода, например, конфигурационных файлов или скриптов.
LDAP (Lightweight Directory Access Protocol)Легковесный протокол доступа к каталогам
MCP (Model Context Protocol)Протокол для подключения ИИ-агентов к внешним системам и данным
MTTD (Mean Time to Detect)Среднее время выявления дефекта
MTTR (Mean Time to Recovery)Среднее время устранения дефекта
OSA (Open Source Analysis)Анализ открытого программного обеспечения — это анализ библиотек и компонентов с открытым исходным кодом, которые входят в периметр разработки программного обеспечения, а также уже используются в качестве артефактов в приложении. Анализ проводится с точки зрения известных уязвимостей безопасности и нарушений лицензий.
PURL (Package URL)Унифицированный формат идентификации программного пакета и его версии
Quality Gate (Контроль качества)Контрольная точка, определяющая критерии прохождения проверки качества сканирования
RBAC (Role-Based Access Control)Модель управления доступом на основе ролей пользователей
SARIF (Static Analysis Results Interchange Format)Стандартизированный формат обмена результатами статического анализа между инструментами
SAST (Static Application Security Testing)Процесс тестирования приложения на наличие ошибок и уязвимостей в исходном коде с применением статического анализа. Статический анализ может применяться для поиска кода, потенциально содержащего уязвимости.
SBOM (Software Bill of Materials)Спецификация состава ПО — перечень всех компонентов, библиотек и зависимостей приложения
SCA (Software Composition Analysis)Анализ структуры программного обеспечения - позволяет определять состав программного обеспечения для выявления и управления компонентами с открытым исходным кодом и их уязвимостями.
SIEM (Security Information and Event Management)Класс систем для сбора, корреляции и анализа событий безопасности
SSO (Single Sign-On)Технология единого входа — это способ аутентификации, при котором пользователь использует одну учетную запись во множестве сервисов
VEX (Vulnerability Exploitability eXchange)Формат документа, описывающий статус эксплуатируемости уязвимостей, найденных в компонентах SBOM
Нашли ошибку или неточность?