КИБЕРВИКИПЕДИЯ
SECURITY VISION

Определение: Secure Random Number Generation — это процесс генерации случайных чисел, которые невозможно предсказать, что важно для криптографических операций, таких как создание ключей, токенов или salt. Ненадежная генерация случайных чисел может привести к уязвимостям.

Определение: WebSockets Security — это меры, направленные на защиту соединений WebSocket от таких угроз, как подделка сообщений, атаки типа "человек посередине" (MITM) или несанкционированный доступ к данным. WebSocket — это протокол для двусторонней связи между клиентом и сервером.

Определение: GraphQL Security — это набор практик и мер, направленных на защиту API, построенных на основе GraphQL, от таких угроз, как чрезмерное использование ресурсов, инъекции или несанкционированный доступ к данным.

Определение: YAML Parsing Attacks — это атаки, которые эксплуатируют уязвимости в обработке YAML-файлов, например, выполнение произвольного кода или несанкционированный доступ к данным. YAML-парсеры могут интерпретировать определенные конструкции как команды, что делает их уязвимыми.

Определение: XXE (XML External Entity) — это уязвимость, возникающая при обработке XML-документов, когда приложение разрешает использование внешних сущностей. Это может привести к чтению файлов на сервере, выполнению удаленных запросов или атакам типа "отказ в обслуживании".

Определение: Automated Security Testing — это процесс автоматизированной проверки программного обеспечения на наличие уязвимостей с использованием специализированных инструментов. Это позволяет быстро выявлять проблемы безопасности без ручного вмешательства.

Определение: Threat Intelligence Feeds — это потоки данных, предоставляющие информацию о текущих угрозах, уязвимостях и методах атак. Эти данные используются для повышения осведомленности и улучшения защиты систем.

Определение: DevSecOps Pipeline — это процесс интеграции практик безопасности в конвейер непрерывной интеграции и доставки (CI/CD). Он обеспечивает автоматизированную проверку безопасности на всех этапах разработки, от написания кода до развертывания.

Определение: Patch Management — это процесс управления установкой обновлений (патчей) для программного обеспечения и операционных систем с целью устранения уязвимостей, исправления ошибок и улучшения функциональности.

Static Linking — это процесс компиляции программы, при котором все необходимые библиотеки включаются непосредственно в исполняемый файл. Это повышает производительность, но может увеличить размер программы и усложнить обновление библиотек.

Secure Boot — это механизм безопасности, который гарантирует, что устройство загружается только с использованием доверенного программного обеспечения, подписанного авторизованными ключами. Это предотвращает запуск вредоносного кода на этапе загрузки.

Определение: Secure SDLC — это подход к разработке программного обеспечения, который интегрирует практики безопасности на всех этапах жизненного цикла разработки, от проектирования до внедрения и поддержки.

Определение: Hardcoded Credentials — это практика хранения учетных данных (например, логинов и паролей) непосредственно в исходном коде или конфигурационных файлах, что делает их уязвимыми для извлечения и использования злоумышленниками.

Определение: Privilege Escalation — это процесс получения более высоких привилегий в системе, чем те, которые были предоставлены изначально. Это может быть достигнуто через эксплуатацию уязвимостей или ошибок в настройках системы.

Определение: Race Condition — это уязвимость, возникающая, когда результат выполнения программы зависит от последовательности или времени выполнения потоков, что может привести к непредсказуемому поведению или уязвимостям.

Определение: Heap Overflow — это тип атаки, при которой злоумышленник переполняет динамически выделенную память (кучу), чтобы повлиять на выполнение программы или выполнить произвольный код.

Определение: Stack Overflow Attack — это тип атаки, при которой злоумышленник переполняет стек вызовов программы, чтобы перезаписать адрес возврата и выполнить произвольный код. Это происходит из-за отсутствия проверки границ данных.

Определение: Deobfuscation — это процесс восстановления исходного или читаемого вида кода, который был намеренно затруднен для понимания (обфусцирован) с целью защиты от анализа или обратной разработки.

Определение: OWASP Threat Dragon — это инструмент с открытым исходным кодом для моделирования угроз (threat modeling), который помогает разработчикам визуализировать и анализировать потенциальные угрозы безопасности в приложении.

Определение: API Gateway Security — это набор мер и технологий, направленных на защиту API-шлюза, который служит точкой входа для всех запросов к API. Это включает аутентификацию, авторизацию, шифрование данных и защиту от атак.

Определение: Secure Code Review — это процесс ручного или автоматизированного анализа исходного кода приложения с целью выявления уязвимостей и нарушений рекомендаций по безопасности. Это важный этап в разработке, который помогает устранить проблемы до запуска приложения.

Определение: RASP — это технология защиты приложений, которая интегрируется в само приложение и обеспечивает безопасность в режиме реального времени. RASP отслеживает поведение приложения и блокирует попытки эксплуатации уязвимостей.

Определение: IAST — это метод тестирования безопасности, который сочетает в себе элементы SAST и DAST. Он работает внутри приложения во время его выполнения, анализируя поток данных и поведение кода для выявления уязвимостей.

Определение: DAST — это метод тестирования безопасности приложений, который анализирует работающее приложение в реальном времени для выявления уязвимостей. В отличие от SAST, DAST не требует доступа к исходному коду и работает "извне".

Определение: SAST — это метод анализа безопасности приложений, который заключается в проверке исходного кода, байт-кода или бинарного кода на наличие уязвимостей без выполнения программы. Этот метод позволяет выявлять проблемы на ранних этапах разработки.

Определение: Certificate Transparency (CT) — это открытый стандарт, разработанный для повышения прозрачности и безопасности выдачи SSL/TLS-сертификатов. Он позволяет отслеживать и проверять все выданные сертификаты, предотвращая использование поддельных или ошибочно выданных сертификатов. CT требует, чтобы центры сертификации (CA) публиковали все выданные сертификаты в публичных логах, доступных для проверки.

Определение: Content Security Policy (CSP) — это механизм безопасности, который позволяет владельцам веб-сайтов контролировать, какие ресурсы (скрипты, стили, изображения и т.д.) могут загружаться на их страницах. Это помогает предотвращать атаки, такие как XSS (межсайтовый скриптинг) и внедрение вредоносного кода.