AST (Application Security Testing) |
Тестирование безопасности приложений |
CI/CD (Continuous Integration / Continuous Delivery) |
Системы для непрерывной интеграции и непрерывных поставок приложения. Примером такой системы может быть Teamcity/Jenkins |
DevOps (акроним от англ. Development and Operations) |
Это инженерная культура, практики и инструменты, направленные на сокращение релизного цикла, повышение эффективности и обеспечение возможности выпуска релиза в любой момент |
DevSecOps (акроним от англ. Security, Development и Operations) |
Это обогащение парадигмы DevOps практиками разработки защищенного ПО в рамках всего жизненного цикла систем / приложений / сервисов |
Machine Learning |
Алгоритмы машинного обучения |
Администратор ИБ |
Сотрудник, обеспечивающий соблюдение требований и осуществляющий контроль в части ИБ при внедрении и эксплуатации Системы |
Анализ байт-кода и контейнеров (BCA, Bytecode and Container Analysis) |
Автоматический анализ скомпилированных артефактов сборки, дистрибутивов программного обеспечения и docker контейнеров с помощью определенных инструментов, включая, но не ограничиваясь, случаями, когда исходный код недоступен для анализа безопасности на последних этапах SDLC |
Анализ открытого программного обеспечения (OSA, Open Source Analysis) / Анализ структуры программного обеспечения (SCA, Software Composition Analysis) |
Анализ библиотек и компонентов с открытым исходным кодом, которые входят в периметр разработки программного обеспечения, а также уже используются в качестве артефактов в приложении. Анализ проводится с точки зрения известных уязвимостей безопасности и нарушений лицензий |
Артефакт ПО (Software Artifact) |
Артефакт — это работа, которая была задокументирована и сохранена в репозитории так, что ее можно получить по запросу. Артефакты включают, помимо прочего, образы виртуальных машин, образы контейнеров, двоичные исполняемые файлы, библиотеки и компоненты с открытым исходным кодом, дистрибутивы и архивы |
Безопасность приложений (Application Security) |
IT-дисциплина (ISO/IEC 27034), охватывающая все аспекты безопасной разработки программного обеспечения |
Дефекты (Defects) |
Подтвержденная уязвимость, занесенная в систему отслеживания дефектов ПО. У каждого дефекта есть тип, описание и рекомендации по устранению |
Динамическое тестирование безопасности приложений (DAST, Dynamic Application Security Testing) |
Динамический анализ приложений с использованием специальных инструментов позволяет обнаруживать уязвимости программного обеспечения в приложении, уже развернутом на стенде. DAST определяет возможные уязвимости в системе, моделируя работу пользователя с системой, отправляя запросы со специально сформированными данными и проверяя ответы, отправленные сервером |
Жизненный цикл безопасной разработки ПО (SSDL, Secure Software Development Lifecycle) |
Жизненный цикл обеспечения безопасности применительно к разработке программного обеспечения, процесс, направленный на уменьшение количества уязвимостей программного обеспечения и уровня их серьезности, а также обеспечение безопасности и конфиденциальности на всех этапах процесса разработки |
ИБ |
Информационная безопасность |
Исходный код (Source Code) |
Программные инструкции для компьютера, написанные на языке программирования. Эти инструкции могут быть в форме либо читаемого человеком исходного кода, либо машинного кода, который представляет собой исходный код, который был скомпилирован в исполняемые машиной инструкции |
Кодовая база (Codebase) |
Коллекция исходного кода, используемого для создания конкретной программной системы, приложения или программного компонента. Обычно база кода включает только файлы исходного кода, написанные человеком; таким образом, база кода обычно не включает файлы исходного кода, созданные инструментами (сгенерированные файлы) или файлы двоичных библиотек (объектные файлы), поскольку они могут быть построены из исходного кода, написанного человеком. Однако обычно она включает файлы конфигурации и свойств, поскольку они являются данными, необходимыми для сборки |
Контейнеры (Containers) |
Стандартная единица программного обеспечения, которая упаковывает код и все его зависимости, вплоть до операционной системы (ОС), но не включая ее. Это легкий автономный исполняемый пакет программного обеспечения, который включает в себя все необходимое для запуска приложения, кроме ОС: код, среду выполнения, системные инструменты, системные библиотеки и настройки. Несколько контейнеров могут работать в одной ОС без конфликта друг с другом. Контейнеры работают в ОС, поэтому гипервизор (виртуализация) не требуется (хотя сама ОС может работать на гипервизоре) |
Модель BSIMM (Building Security In Maturity Model) |
Модель зрелости безопасности приложений, документ, который предоставляет обзор существующих практик и инициатив в области безопасности программного обеспечения, и помогает понять и спланировать инициативы по безопасности разрабатываемого ПО. https://www.bsimm.com |
Модель openSAMM (Software Assurance Maturity Model) |
Открытая модель обеспечения безопасности ПО, помогающая организациям сформулировать и реализовать стратегию безопасности программного обеспечения, адаптированную к конкретным рискам, с которыми сталкивается организация. http://www.opensamm.org |
Окружение (Environment) |
Устанавливает runtime границы (границы времени выполнения) для программного компонента, который будет развернут и запущен. Типичные окружения включают разработку, интеграцию, тестирование, промежуточную среду (pre-production) и рабочую среду (production) |
Оркестрация тестирования безопасности приложений (Application Security Testing Orchestration) |
Подход к созданию полностью автоматизированного, сквозного процесса оркестрации для всей цепочки инструментов DevSecOps и управления CI/CD Security Pipelines. Периметр DevSecOps формируется в рамках практики ASTO, что позволяет управлять портфелем приложений, обеспечивать бесшовную интеграцию инструментов безопасности с инфраструктурой разработки программного обеспечения и внедрять механизмы сбора и консолидации данных для прозрачности процессов и непрерывного мониторинга |
Открытый проект обеспечения безопасности веб-приложений (Open Web Application Security Project, OWASP) |
Открытое сообщество, осуществляющее поддержку и развитие практик, инструментов, методов и инициатив в области безопасности приложений. https://www.owasp.org |
ПО |
Программное обеспечение |
Прикладной администратор |
Сотрудник, отвечающий за функционирование Системы в части Прикладного ПО, администрирование пользователей Системы |
Репозиторий артефактов (Artifact Repository) |
Локальный репозиторий, привязанный к фабрике ПО (Software Factory). В нем хранятся артефакты, извлеченные из централизованного репозитория артефактов, а также артефакты, разработанные локально, для использования в процессах DevSecOps. Он поддерживает мультиарендность (multi-tenancy). Обратите внимание, что программы могут иметь единый репозиторий артефактов и использовать теги для различения типов содержимого. Также возможно иметь отдельные репозитории артефактов для хранения локальных артефактов и выпущенных (released) артефактов |
Самозащита приложений во время выполнения (RASP, Runtime Application Self-Protection) |
Класс автоматизированных инструментов и методов защиты приложений и сервисов от уязвимостей в рабочей (production) среде |
Стандарт (Standard) |
Совокупность требований или категорий требований информационной безопасности, на соответствие которым может проверяться приложение. Стандарты могут быть как общемировые, так и внутренние стандарты компании |
Статический анализ исходного кода приложений (SAST, Static Application Security Testing) |
Статический анализ исходного кода приложений с применением специализированного инструментария. Позволяет обнаруживать уязвимости в исходном коде программного обеспечения на ранних стадиях разработки ПО. Обнаруживает уязвимости, анализируя потоки данных в приложении, определяя полный путь от источника данных по всем возможным веткам внутри кода |
Стратегия безопасности приложений (Application Security Strategy) |
Система подходов, техник, практик, шагов по внедрению процессов безопасной разработки программного обеспечения в существующий цикл выпуска программного обеспечения с учетом организационных, технологических и методологических особенностей организации поставки программного обеспечения |
Тестирование безопасности приложений (Application Security Testing) |
Тестирование приложений для выявления дефектов и уязвимостей в области безопасности программного обеспечения. Включает в себя выполнение автоматизированного тестирования с помощью таких практик, как SAST / DAST / IAST / SCA / BCA |
Управление знаниями (Knowledge Management) |
Практика, включающая требования к безопасности приложений и управление знаниями в процессе SSDL. База знаний о стандартах безопасности приложений и руководящих принципах с точки зрения проектирования безопасной архитектуры, специфики языков программирования и программных фреймворков |
Уязвимость (Vulnerability) |
Уязвимость программного обеспечения — это сбой, изъян или слабое место в программном обеспечении, которое может быть использовано для нарушения функциональности или несанкционированного доступа к ресурсам приложения |
Фабрика ПО (Software Factory) |
Фабрика ПО (Software Factory) — это структурированный набор программных артефактов, устанавливаемый в среду разработки и облегчающий работу архитекторов и разработчиков по предсказываемому, эффективному и качественному созданию приложений определенного типа. Фабрика ПО (Software Factory), содержащая несколько пайплайнов, которые оснащены набором инструментов, рабочих процессов, сценариев и сред для создания набора развертываемых артефактов программного обеспечения с минимальным вмешательством человека. Она автоматизирует действия на этапах разработки, сборки, тестирования, выпуска (release) и поставки (deliver). Фабрика программного обеспечения поддерживает мультиарендность |
Файрвол веб-приложений (WAF, Web Application Firewall) |
Автоматизированный инструмент для выявления атак и блокировки эксплойтов (exploits) для веб-приложений, включая уязвимости нулевого дня (zero-day vulnerabilities) |
Экосистема DevSecOps (DevSecOps Ecosystem) |
Набор инструментов и рабочих процессов, созданных и исполняемых с помощью этих инструментов, для поддержки всех действий на протяжении всего жизненного цикла DevSecOps. Рабочие процессы DevSecOps могут быть полностью автоматизированными, полуавтоматическими или ручными |