【51cto.com快譯】 軟體開發中的安全主題是多種多樣的,安全術語對不同的團隊具有不同的含義。為幫助澄清問題和避免安全問題的混淆,小編列出了a-z最重要的安全相關詞條供你參考。
a
·異常檢測(anomalydetection):用來監測ai和ml異常登入,網絡内運作或者檔案接口。
·應用安全(appsec):it領域專家關注的安全應用設計,熟悉程式設計。
·身份驗證(authentication):在請求通路系統中的資源時确認使用者身份的機制。通常使用者通過密碼确認其身份時授予使用者通路令牌來處理。
b
·比特币(bitcoin):一種數字貨币,沒有任何管理機構裁定。
·資料區塊鍊(blockchain):大型事務資料庫,也被稱為交易的分類。
c
·内容分發網絡(cdn):一個承載的、地理分布的伺服器網絡,可以改善網站檔案的傳遞和性能。它還可以包括諸如ddos保護之類的安全特性。
·連續威脅管理(continuousthreatmanagement):基于預防技術的自适應和預測防禦,以備及時的事件響應。
·跨站請求僞造(csrf):惡意網頁利用,攻擊程式強制使用者的浏覽器執行必要的行動的一個網站,目前使用者認證。
·跨站腳本(xss):一種注入攻擊目标的應用程式通過用戶端腳本,通常是javascript。
·加密電子貨币(cryptocurrency):一個加密的數字交換的加密技術的使用為確定安全,都是監管和驗證發生交易的方法。
·網絡安全(cybersecurity):一種旨在保護計算機、資料和網絡免受潛在攻擊或未經授權通路的做法。
d
·資料洩露(dataexfiltration):資料未經授權的轉移。它可以手動或通過惡意的自動程式進行。
·分散自治組織(dao):作為風險投資基金形式的組織。它貫穿智能合同和交易記錄被保持在資料區塊鍊。
·拒絕服務攻擊(ddos):一種攻擊,使用多個被脅迫的系統,被迫通路網站或系統,過載帶寬以導緻中斷。
·安全的開發營運(devsecops):安全的開發營運(devops)方法整合。
·動态應用安全測試(dast):一個應用程式的安全監控的運作環境和執行的代碼中的一個分析。它模拟潛在的攻擊并分析結果。
e
·加密(encryption):無法解密資料編碼使其不可讀的方法。
·開源漏洞利用(exploit):利用計算機軟體或硬體中的漏洞産生不良行為的一段代碼。
i
·注入攻擊(injectionattack):攻擊者通過應用程式将惡意代碼轉發到另一個系統以惡意操縱應用程式的場景。這些攻擊可以通過系統調用、通過shell指令的外部程式或通過查詢語言(sql)注入資料庫來攻擊作業系統。
·互動式應用程式安全性測試(iast):結合sast和dast,通常是在一個agent監視攻擊和識别漏洞在測試運作時環境的實作形式。
m
·惡意軟體(malware):指對計算機或程式造成傷害的軟體。
o
·混淆層(obfuscationlayer):旨在為代碼的關鍵部分提供進階别的保護。
·開放web應用安全項目(owasp):公司,一個線上社群教育組織和個人專注于提供web安全工具,資源,活動,和更為廣闊的發展社群。
r
·勒索軟體(ransomware):一種惡意軟體,限制或阻止通路受害者的系統直到支付贖金,通常以電子貨币支付。
·風險管理(riskmanagement):根據公司或行業優先考慮最重要的安全問題。
·運作應用程式的自我保護(rasp):應用程式中的一種特性,用于實時檢測和停止攻擊。
·可重入性攻擊(reentrancyattacks):攻擊不受信任的代碼進入合同和操作狀态。
s
·保密插口層(ssl):一種加密的連結,作為在web伺服器和私有浏覽器之間傳遞資訊安全的手段。
·安全設計(securitybydesign):安全是內建在軟體開發生命周期的開始。
·單點登入(sso):使用者或會話認證過程,允許使用者輸入一組憑證,以通路由sso軟體連接配接的多個應用程式。
·sql注入:代碼注入技術,用來攻擊資料驅動的應用程式,其中的sql語句插入到輸入域中執行。
·靜态應用程式安全測試(sast):分析應用程式的安全性,檢視應用程式的源代碼、位元組碼或二進制代碼,以确定是否有允許攻擊者利用安全漏洞的部分。
t
·威脅向量(threatvector):黑客可以通過進入計算機或網絡伺服器以獲得有效負載或惡意結果的途徑或手段。
·圖靈完備(turingcomplete):如果沒有考慮記憶體或運作時限制,理論上可以解決任何計算問題的系統。
w
·web應用防火牆(waf):根據可定制規則監視、過濾和阻止http傳輸到網站的裝置或應用程式。
z
·零日(zeroday):軟體制造商或反病毒供應商目前不知道的漏洞。它還指允許攻擊者利用零日漏洞的一段代碼。
作者:劉妮娜譯
來源:51cto