| API (Application Programming Interface) |
Описание способов программного взаимодействия приложений друг с другом |
| ASPM (Application Security Posture Management) |
Управление состоянием безопасности приложений - это класс платформ, предназначенных для централизованного контроля безопасности приложений. ASPM-платформа консолидирует данные из различных инструментов сканирования (SAST, DAST, SCA, OSA) в единый интерфейс, помогая приоритизировать, отслеживать и устранять уязвимости на всех этапах жизненного цикла разработки ПО |
| CI (Continuous Integration) |
Методология разработки и набор практик, при которых в код вносятся небольшие изменения с частыми сохранениями изменений |
| CD (Continuous Delivery) |
Автоматическое развертывание приложения в целевое окружение |
| DevOps (акроним от англ. Development and Operations) |
Инженерная культура, практики и инструменты, направленные на сокращение релизного цикла, повышение эффективности и обеспечение возможности выпуска релиза в любой момент |
| DevSecOps (акроним от англ. Security, Development и Operations) |
Обогащение парадигмы DevOps практиками разработки защищенного ПО в рамках всего жизненного цикла систем / приложений / сервисов |
| Machine Learning |
Алгоритмы машинного обучения |
| Администратор ИБ |
Сотрудник, обеспечивающий соблюдение требований и осуществляющий контроль в части ИБ при внедрении и эксплуатации Системы |
| Анализ открытого ПО (OSA, Open Source Analysis) / Анализ структуры ПО (SCA, Software Composition Analysis) |
Анализ библиотек и компонентов с открытым исходным кодом, которые входят в периметр разработки ПО, а также уже используются в качестве артефактов в приложении. Анализ проводится с точки зрения известных уязвимостей безопасности и нарушений лицензий |
| Артефакт ПО (Software Artifact) |
Артефакт — это работа, которая была задокументирована и сохранена в репозитории так, что ее можно получить по запросу. Артефакты включают, помимо прочего, образы виртуальных машин, образы контейнеров, двоичные исполняемые файлы, библиотеки и компоненты с открытым исходным кодом, дистрибутивы и архивы |
| Безопасность приложений (Application Security) |
IT-дисциплина (ISO/IEC 27034), охватывающая все аспекты безопасной разработки ПО |
| Дефекты (Defects) |
Подтвержденная уязвимость, занесенная в систему отслеживания дефектов ПО. У каждого дефекта есть тип, описание и рекомендации по устранению |
| Динамическое тестирование безопасности приложений (DAST, Dynamic Application Security Testing) |
Динамический анализ приложений с использованием специальных инструментов позволяет обнаруживать уязвимости ПО в приложении, уже развернутом на стенде. DAST определяет возможные уязвимости в системе, моделируя работу пользователя с системой, отправляя запросы со специально сформированными данными и проверяя ответы, отправленные сервером |
| Жизненный цикл безопасной разработки ПО (SSDL, Secure Software Development Lifecycle) |
Жизненный цикл обеспечения безопасности применительно к разработке ПО, процесс, направленный на уменьшение количества уязвимостей ПО и уровня их серьезности, а также обеспечение безопасности и конфиденциальности на всех этапах процесса разработки |
| ИБ |
Информационная безопасность |
| Исходный код (Source Code) |
Программные инструкции для компьютера, написанные на языке программирования. Эти инструкции могут быть в форме либо читаемого человеком исходного кода, либо машинного кода, который представляет собой исходный код, который был скомпилирован в исполняемые машиной инструкции |
| Кодовая база (Codebase) |
Коллекция исходного кода, используемого для создания конкретной программной системы, приложения или программного компонента. Обычно база кода включает только файлы исходного кода, написанные человеком; таким образом, база кода обычно не включает файлы исходного кода, созданные инструментами (сгенерированные файлы) или файлы двоичных библиотек (объектные файлы), поскольку они могут быть построены из исходного кода, написанного человеком. Однако обычно она включает файлы конфигурации и свойств, поскольку они являются данными, необходимыми для сборки |
| Модель BSIMM (Building Security In Maturity Model) |
Модель зрелости безопасности приложений, документ, который предоставляет обзор существующих практик и инициатив в области безопасности ПО, и помогает понять и спланировать инициативы по безопасности разрабатываемого ПО. https://www.bsimm.com |
| Модель openSAMM (Software Assurance Maturity Model) |
Открытая модель обеспечения безопасности ПО, помогающая организациям сформулировать и реализовать стратегию безопасности ПО, адаптированную к конкретным рискам, с которыми сталкивается организация. http://www.opensamm.org |
| Окружение (Environment) |
Устанавливает runtime границы (границы времени выполнения) для программного компонента, который будет развернут и запущен. Типичные окружения включают разработку, интеграцию, тестирование, промежуточную среду (pre-production) и рабочую среду (production) |
| Оркестрация тестирования безопасности приложений (Application Security Testing Orchestration) |
Подход к созданию полностью автоматизированного, сквозного процесса оркестрации для всей цепочки инструментов DevSecOps и управления пайплайнами CI/CD. Периметр DevSecOps формируется в рамках практики ASTO, что позволяет управлять портфелем приложений, обеспечивать бесшовную интеграцию инструментов безопасности с инфраструктурой разработки ПО и внедрять механизмы сбора и консолидации данных для прозрачности процессов и непрерывного мониторинга |
| Открытый проект обеспечения безопасности веб-приложений (Open Web Application Security Project, OWASP) |
Открытое сообщество, осуществляющее поддержку и развитие практик, инструментов, методов и инициатив в области безопасности приложений. https://www.owasp.org |
| ПО |
Программное обеспечение |
| Прикладной администратор |
Сотрудник, отвечающий за функционирование Системы в части Прикладного ПО, администрирование пользователей Системы |
| Репозиторий артефактов (Artifact Repository) |
Локальный репозиторий, привязанный к фабрике ПО (Software Factory). В нем хранятся артефакты, извлеченные из централизованного репозитория артефактов, а также артефакты, разработанные локально, для использования в процессах DevSecOps. Он поддерживает мультиарендность (multi-tenancy). Обратите внимание, что программы могут иметь единый репозиторий артефактов и использовать теги для различения типов содержимого. Также возможно иметь отдельные репозитории артефактов для хранения локальных артефактов и выпущенных (released) артефактов |
| Самозащита приложений во время выполнения (RASP, Runtime Application Self-Protection) |
Класс автоматизированных инструментов и методов защиты приложений и сервисов от уязвимостей в рабочей (production) среде |
| Стандарт (Standard) |
Совокупность требований или категорий требований информационной безопасности, на соответствие которым может проверяться приложение. Стандарты могут быть как общемировые, так и внутренние стандарты компании |
| Статический анализ исходного кода приложений (SAST, Static Application Security Testing) |
Статический анализ исходного кода приложений с применением специализированного инструментария. Позволяет обнаруживать уязвимости в исходном коде на ранних стадиях разработки ПО. Обнаруживает уязвимости, анализируя потоки данных в приложении, определяя полный путь от источника данных по всем возможным веткам внутри кода |
| Стратегия безопасности приложений (Application Security Strategy) |
Система подходов, техник, практик, шагов по внедрению процессов безопасной разработки ПО в существующий цикл выпуска ПО с учетом организационных, технологических и методологических особенностей организации поставки ПО |
| Тестирование безопасности приложений (AST, Application Security Testing) |
Тестирование приложений для выявления дефектов и уязвимостей в области безопасности ПО. Включает в себя выполнение автоматизированного тестирования с помощью таких практик, как SAST, DAST, SCA, OSA |
| Управление знаниями (Knowledge Management) |
Практика, включающая требования к безопасности приложений и управление знаниями в процессе SSDL. База знаний о стандартах безопасности приложений и руководящих принципах с точки зрения проектирования безопасной архитектуры, специфики языков программирования и программных фреймворков |
| Уязвимость (Vulnerability) |
Уязвимость ПО — это сбой, изъян или слабое место в ПО, которое может быть использовано для нарушения функциональности или несанкционированного доступа к ресурсам приложения |
| Фабрика ПО (Software Factory) |
Фабрика ПО (Software Factory) — это структурированный набор программных артефактов, устанавливаемый в среду разработки и облегчающий работу архитекторов и разработчиков по предсказываемому, эффективному и качественному созданию приложений определенного типа. Фабрика ПО (Software Factory), содержащая несколько пайплайнов, которые оснащены набором инструментов, рабочих процессов, сценариев и сред для создания набора развертываемых артефактов ПО с минимальным вмешательством человека. Она автоматизирует действия на этапах разработки, сборки, тестирования, выпуска (release) и поставки (deliver). Фабрика ПО поддерживает мультиарендность |
| Файрвол веб-приложений (WAF, Web Application Firewall) |
Автоматизированный инструмент для выявления атак и блокировки эксплойтов (exploits) для веб-приложений, включая уязвимости нулевого дня (zero-day vulnerabilities) |
| Экосистема DevSecOps (DevSecOps Ecosystem) |
Набор инструментов и рабочих процессов, созданных и исполняемых с помощью этих инструментов, для поддержки всех действий на протяжении всего жизненного цикла DevSecOps. Рабочие процессы DevSecOps могут быть полностью автоматизированными, полуавтоматическими или ручными |