Термины и определения
| Термин/Аббревиатура | Определение |
|---|---|
| Дубликат | Признак того, что проблема безопасности повторяет ранее зафиксированную проблему |
| ИБ | Информационная безопасность |
| ИИ | Искусственный интеллект |
| Интеграция | Обмен данными между системами с возможной последующей обработкой |
| ПО | Программное обеспечение |
| Правило безопасности (ПБ) | Правило, применяемое к проблемам безопасности проекта |
| Проблема безопасности | Выявленная уязвимость или иной дефект безопасности, зафиксированный по результатам сканирования или внесенный вручную |
| Проверка безопасности | Сущность, объединяющая инструмент сканирования и источник сканирования; используется для запуска сканирования и получения результатов |
| Проект | Сущность, которая создается авторизованным пользователем, чтобы логически объединить весь набор связанных приложений или компонентов, которые разрабатываются и поддерживаются в рамках одной команды или организации, и который нужно проверять на соответствие политикам безопасности компании и качество. |
| AD (Active Directory) | Службы каталогов — это совокупности программных сервисов и баз данных (на базе Microsoft) для иерархического представления информационных ресурсов в сети и настройки доступа к ним. |
| API (Application Programming Interface) | Программный интерфейс для взаимодействия между системами |
| ASOC (Application Security Orchestration and Correlation) | Платформы или решения для оркестрации и корреляции безопасности приложений — это платформы, предназначенные для управления и координации безопасностью приложений, позволяют автоматизировать процессы обнаружения, анализа и реагирования на угрозы безопасности, связанные с приложениями. |
| AST (Application Security Testing) | Тестирование безопасности приложений |
| CI/CD (Continuous Integration and Continuous Delivery/Deployment) | Непрерывная интеграция и непрерывная поставка ПО |
| CLI (Command Line Interface) | Интерфейс командной строки |
| Container Security | Безопасность контейнеров — это подход к защите и безопасной настройке систем контейнеризации, общее понятие, охватывающее набор различных инструментов и методов для защиты контейнеров от возможных угроз и атак. |
| CVE (Common Vulnerabilities and Exposures) | Общедоступный реестр известных уязвимостей ПО с уникальными идентификаторами |
| CVSS (Common Vulnerability Scoring System) | Стандартизированная система оценки критичности уязвимости по шкале от 0 до 10 |
| CWE (Common Weakness Enumeration) | Классификатор ошибок в коде/архитектуре ПО, приводящих к уязвимостям |
| DAST (Dynamic Application Security Testing) | Динамический анализ кода — это анализ программного обеспечения без доступа к исходному коду, реализуемый при помощи выполнения программ. Процесс тестирования приложений, имитирующий вредоносные внешние атаки, пытающиеся использовать распространенные уязвимости. |
| DevSecOps (Development Security Operations) | Процесс безопасной разработки — это методология разработки программного обеспечения, которая интегрирует практики безопасности (Sec) в процессы разработки и поставки программного обеспечения (DevOps). |
| EULA (End User License Agreement) | Лицензионное соглашение конечного пользователя |
| False-Positive (FP) | Признак того, что проблема безопасности ошибочно определена инструментом как реальная угроза |
| GRC (Governance, Risk and Compliance) | Управление, риски и соответствие требованиям |
| IaC (Infrastructure-as-Code) | Инфраструктура как код — это подход к созданию и управлению инфраструктурой через использование кода, например, конфигурационных файлов или скриптов. |
| LDAP (Lightweight Directory Access Protocol) | Легковесный протокол доступа к каталогам |
| MCP (Model Context Protocol) | Протокол для подключения ИИ-агентов к внешним системам и данным |
| MTTD (Mean Time to Detect) | Среднее время выявления дефекта |
| MTTR (Mean Time to Recovery) | Среднее время устранения дефекта |
| OSA (Open Source Analysis) | Анализ открытого программного обеспечения — это анализ библиотек и компонентов с открытым исходным кодом, которые входят в периметр разработки программного обеспечения, а также уже используются в качестве артефактов в приложении. Анализ проводится с точки зрения известных уязвимостей безопасности и нарушений лицензий. |
| PURL (Package URL) | Унифицированный формат идентификации программного пакета и его версии |
| Quality Gate (Контроль качества) | Контрольная точка, определяющая критерии прохождения проверки качества сканирования |
| RBAC (Role-Based Access Control) | Модель управления доступом на основе ролей пользователей |
| SARIF (Static Analysis Results Interchange Format) | Стандартизированный формат обмена результатами статического анализа между инструментами |
| SAST (Static Application Security Testing) | Процесс тестирования приложения на наличие ошибок и уязвимостей в исходном коде с применением статического анализа. Статический анализ может применяться для поиска кода, потенциально содержащего уязвимости. |
| SBOM (Software Bill of Materials) | Спецификация состава ПО — перечень всех компонентов, библиотек и зависимостей приложения |
| SCA (Software Composition Analysis) | Анализ структуры программного обеспечения - позволяет определять состав программного обеспечения для выявления и управления компонентами с открытым исходным кодом и их уязвимостями. |
| SIEM (Security Information and Event Management) | Класс систем для сбора, корреляции и анализа событий безопасности |
| SSO (Single Sign-On) | Технология единого входа — это способ аутентификации, при котором пользователь использует одну учетную запись во множестве сервисов |
| VEX (Vulnerability Exploitability eXchange) | Формат документа, описывающий статус эксплуатируемости уязвимостей, найденных в компонентах SBOM |
Нашли ошибку или неточность?