Un caso d'uso in cui alcuni attori con intenzioni malevole stanno arrecando danno al sistema o ad altri attori.
Il processo per ottenere informazioni sull'account utente basate su tentativi ed errori con l'intenzione di utilizzare tali informazioni in un attacco di sicurezza
Un ambiente comprendente hardware, strumentazione, simulatori, strumento software ed altri elementi di supporto necessari per condurre un test.
L’insieme dei prodotti hardware e software installati presso i siti degli utenti o dei clienti, laddove il componente o sistema sotto test sarà usato. Il software può includere sistemi operativi, sistemi di gestione di database ed altri e componenti di base.
Uno strumento che effettua l’analisi statica.
Ogni condizione che devia dalle aspettative basate sulle specifiche dei requisiti, documenti di progetto, documenti utente, standards, etc. o dalla percezione o esperienza di qualcuno. Le anomalie possono essere trovate durante, ma non solo, revisioni, testing, analisi, compilazione, uso di prodotti software
Acronimo per Application Programming Interface.
Una persona o un processo che tenta di accedere a dati, funzioni o altre aree del sistema riservate senza autorizzazione, potenzialmente con intenti malevoli
Un tentativo di ottenere l'accesso non autorizzato a un sistema o componente, a risorse,a informazioni o un tentativo di compromettere l'integrità del sistema.
Utente o ogni altra persona od altro sistema che interagiscono col sistema in test con particolari modalità.
Un controllo che valuta i processi e le infrastrutture di sicurezza di un'organizzazione.
Una procedura che verifica se una persona o un processo è proprio chi ha dichiarato essere.
Autorizzazione data a un utente o a un processo per accedere alle risorse.
Un metodo o una pratica innovativa che contribuisce a migliorare le performance di una organizzazione in un dato contesto. Eessi sono normalmente considerati il metodo o la pratica ‘migliore’ da altre organizzazione che operano nel medesimo contesto.
Una rete di computer pirata denominata bot o robot, controllata da terzi e utilizzata per trasmettere malware o spam o per lanciare attacchi.
Una sequenza di eventi (ad esempio istruzioni eseguibili) di un componente o sistema, da un punto di ingresso ad un punto di uscita.
Un attributo di un componente o sistema specificato (o derivante) dalla documentazione dei requisiti. (per esempio affidabilità, usabilità o vincoli di progettazione)
Durante la fase di chiusura di un processo di test vengono documentati i dati raccolti dalle attività completate per consolidare l’esperienza, il testware, i fatti ed i numeri. La fase di chiusura del test consiste nella finalizzazione e nell’archiviazione del testware e nella valutazione del processo di test, comprendente la preparazione di un report di valutazione del testing.
Il periodo di tempo che inizia quando un prodotto software viene concepito e termina quando non è più disponibile per essere utilizzato. Il ciclo di vita del software tipicamente include le fasi: concettuale, requisiti, progettazione, implementazione, test, installazione, operativa, manutenzione e, a volte, il ritiro del software. Si noti che queste fasi posso sovrapporsi o essere svolte in modo iterativo.
Attività svolte in ciascuna fase di un progetto di sviluppo del software e come le attività si relazionano tra loro in modo logico e cronologico
Il grado con cui un componente o sistema ha una progettazione e/o una struttura interna che è difficile da comprendere, mantenere e verificare.
L'eccessiva dipendenza emotiva o psicologica da un'altra persona, in particolare nel cercare di modificare il comportamento corrente (indesiderato), di quella persona, mentre si continua a sostenerla nel mantenere quel comportamento. Ad esempio nel software testing , lamentarsi del ritardo nella consegna del test e contemporaneamente gloriarsi dell’"eroico" lavoro straordinario per recuperare il ritardo, che in realtà aggrava il ritardo stesso.
La composizione di un componente o di un sistema come definito dal numero, dalle caratteristiche e dalle interrelazioni delle sue parti (SW, HW o altro) costituenti.
Un attacco di sicurezza che recupera le password segrete archiviate in un sistema informatico o trasmesse su una rete.
Un modello, basato sui contenuti, di miglioramento del processo di test, focalizzato su dodici processi aziendali critici. Essi includono processi di alta visibilità, in base ai quali il management ed altri interlocutori giudicano le competenze, e processi fondamentali, le cui prestazioni impattano il profitto e la visibilità aziendale.
Il processo di codifica delle informazioni in modo che solo le parti autorizzate possano recuperare le informazioni originali, solitamente mediante una chiave o un processodi decrittazione specifici .
Una rappresentazione di misure dinamiche di performance operativa per una attività od organizzazione, utilizzando metriche rappresentate con metafore visive come "quadranti","grafi" e altri dispositivi simili a quelli del cruscotto di un'automobile, in modo che gli effetti di eventi o attività possano essere facilmente compresi e correlati agli obiettivi operativi.
La protezione delle informazioni di identificazione personale o di informazioni altrimenti sensibili da divulgazione indesiderata.
La fase all'interno del modello IDEAL in cui sono programmate le specifiche di come un organizzazione raggiungerà il suo obiettivo di miglioramento. Tale fase comprende le attività: definire le priorità, sviluppare l'approccio e dettagliare le azioni del piano.
Un attacco di sicurezza che ha lo scopo di sovraccaricare il sistema, con richieste tali che le richieste legittime non possano essere eseguite.
Una azione umana che produce un risultato scorretto.
Una regola empirica generalmente accettata, che aiuta a raggiungere un certo obiettivo.
Un componente o una serie di componenti che controlla il traffico di rete in entrata e in uscita in base a predeterminate regole di sicurezza.
Una rappresentazione astratta della sequenza e delle possibili modifiche allo stato di oggetti dati, dove lo stato è uno dei seguenti: creazione, utilizzo o cancellazione.
(1) un approccio strutturato per gestire le transizioni di individui, team ed organizzazioni da uno stato corrente ad uno desiderato stato futuro. (2) una modalità controllata per effettuare una modifica, od una proposta di modifica, ad un prodotto o servizio.
Interfaccia utente dell'applicazione SW
Una persona o un'organizzazione che è attivamente coinvolta in attacchi di sicurezza, di solito con intenti malevoli.
Il processo passo-passo per ridurre le vulnerabilità di sicurezza di un sistema, applicando una politica di sicurezza e diversi livelli di protezione.
Trasformazione di una stringa di caratteri di lunghezza variabile in un valore o in una chiave di lunghezza fissa, generalmente più breve. I valori hash sono comunemente usati nelle ricerche di tabelle o di database. Le funzioni hash crittografiche vengono utilizzate per proteggere i dati .
Il danno causato dal verificarsi del rischio.
Una metrica di efficacia e/o efficienza (di alto livello) utilizzata per guidare e controllare lo sviluppo in un progetto, ad es. la riduzione del lead time per lo sviluppo del software.
La pratica per determinare come un attacco di sicurezza sia riuscito e per valutare il danno causato.
Misure che proteggono e difendono le informazioni e i sistemi informatici, assicurando la loro disponibilità, integrità, autenticazione, riservatezza e non ripudio. Queste misure includono la fornitura di ripristino dei sistemiinformatici, incorporando funzionalità di protezione, rilevamento e azioni di replica.
I dati ricevuti da una sorgente esterna all’oggetto del testing durante l’esecuzione. La sorgente esterna può essere hardware, software od umana.
Il processo di combinazione di componenti o sistemi in aggregati più grandi
Tutti i componenti di un sistema che forniscono informazioni e controlli per l'utente per svolgere specifich e attivitàcon il sistema stesso.
Una entità in un linguaggio di programmazione, la quale è tipicamente la più piccola indivisibile unità di esecuzione.
Un’istruzione che, quando compilata, viene tradotta in codice oggetto e che quindi verrà eseguita in modo procedurale quando il programma sarà in esecuzione e potrà effettuare un'azione sui dati
Software destinato a danneggiare un sistema o i suoi componenti
Una scala di misurazione e il metodo usato per la misurazione.
Un programma di attività progettato per migliorare le performance e la maturità dei processi delle organizzazioni e il risultato di tale programma.
Un momento temporale in un progetto in corrispondenza del quale dovrebbero essere effettuati dei rilasci (anche intermedi) e/o dovrebbero essere ottenuti particolari risultati.
Una minaccia alla sicurezza proveniente dall'interno dell'organizzazione, spesso da un utente di sistema autorizzato.
Il numero o la categoria assegnata ad un attributo di una entità ottenuto da una misurazione.
Uno schema in cui processi della stessa natura sono classificati, ad esempio un modello di miglioramento dei test.
Trasformazione dei dati che rende difficile per un essere umano riconoscere i dati originali.
Un percorso o un mezzo attraverso il quale un utente malintenzionato può accedere a un sistema per scopi dannosi.
Un attacco di sicurezza destinato a reindirizzare il traffico di un sito Web a un sito Web fraudolento, senza la conoscenza o il consenso dell'utente.
Un tentativo di acquisire informazioni personali o sensibili, mascherandosi da entità fidata in una comunicazione elettronica.
La attività di redazione o modifica di un piano di test.
Un documento di alto livello che descrive i principi, l'approccio e i principali obiettivi dell'organizzazione in materia di sicurezza.
Un documento di alto livello che descrive i principi, l’approccio ed i maggiori obiettivi dell’organizzazione relativa al testing.
Il livello di importanza (di business) assegnato ad un elemento, ad esempio un difetto.
La probabilità stimata che il rischio si manifesti.
Una serie di attività necessarei per attuare la politica di sicurezza e le misure da adottare in risposta a un incidente di sicurezza.
Un insieme di attività correlate tra loro, le quali trasformano un input in output.
Un insieme di attività coordinate e controllate con date di inizio e di fine, intraprese per realizzare un obiettivo che sia conforme ai requisiti specificati, compresi i vincoli temporali, di costo e di risorse.
Raccolta e analisi di dati provenienti dalle attività di test e successivo loro consolidamento in un report per informare le parti interessate.
Un fattore che potrebbe avere negative conseguenze future, generalmente espresso come impatto e probabilità.
Il comportamento osservato quando un componente o un sistema viene testato.
L’esito dell’esecuzione di un test. Esso include gli output, le modifiche ai dati, i report ed i messaggi di comunicazione esterni.
Una tecnica crittografica che aggiunge dati casuali (salt) ai dati dell'utente prima dell'hashing
La capacità del prodotto software di essere esteso per adattarsi a carichi crescenti.
Un analizzatore statico che viene utilizzato per rilevare particolari vulnerabilità di sicurezza nel codice.
Analisi statiche che mirano a rilevare e rimuovere il malware ricevuto da un'interfaccia del sistema
Una persona che esegue attacchi di sicurezza creati da altri hacker invece di creare i propri attacchi.
Il grado dell’impatto che un difetto ha sullo sviluppo o l’operatività di un componente o di un sistema.
Un sistema che monitorizza le attività,sui 7 livelli del modello OSI, dalla rete all'applicazione, per rilevare violazioni della politica di sicurezza.
Sistemi multipli, eterogenei e distribuiti, che sono inseriti in reti a livelli multipli ed in domini multipli interconnessi, che gestiscono problemi (e/o perseguono obiettivi) comuni ed interdisciplinari su larga scala, di solito senza una struttura di gestione comune.
Un tentativo di indurre qualcuno a rivelare informazioni (ad esempio una password) che possono essere utilizzate per attaccare sistemi o reti .
Programmi, procedure, possibilmente con associata documentazione e dati pertinenti all’operatività del sistema informatico.
Un documento che specifica (auspicabilmente in maniera completa, precisa e verificabile) i requisiti, la progettazione, il comportamento od altre caratteristiche di un componente o sistema e, spesso, le relative procedure per determinare se queste clausole sono state soddisfatte.
Un attacco di sicurezza che inserisce statement SQL dannose in un campo di input per la loro esecuzione.
Un insieme di requisiti, formali ed a volte obbligatori, sviluppati e utilizzati per prescrivere approcci coerenti al modo di lavorare o per fornire linee guida (ad esempio, norme ISO / IEC, standard IEEE e standard organizzativi).
Uno strumento di test che è in grado di eseguire test su uno specifico elemento di test e valutare gli esiti rispetto ai risultati attesi e alle postcondizioni.
Uno strumento che supporta la registrazione dei requisiti, degli attributi dei requisiti (ad esempio, priorità, responsabile del processo etc.) e di altre annotazioni, e che agevola la tracciabilità e la gestione delle modifiche dei requisiti attraverso le varie fasi del ciclo di sviluppo/modifica . Alcuni strumenti di gestione dei requisiti forniscono anche supporto per l’analisi statica, come ad esempio controlli di consistenza e violazioni a predefinite regole di specifica dei requisiti.
Uno strumento che supporta la sicurezza operativa.
Uno strumento software che è disponibile per tutti gli utenti potenziali in forma di codice sorgente, di solito via internet. I suoi utenti, solitamente sotto licenza, possono studiare, modificare, migliorare e, a volte, distribuire il software..
Una implementazione semplificata o scheletrica di un componente software, usata per sviluppare o testare un componente chiamante o che è comunque dipendente da esso. Lo stub sostituisce il componente chiamato.
Un insieme di uno o più casi di test.
(1) Una persona che fornisce guida e direzione strategica ad una organizzazione di testing ed ai suoi rapporti con altre discipline.(2) Una persona che definisce le modalità con cui il test di un dato sistema è strutturato, tra cui aspetti come strumenti e gestione dei dati di test.
Una tecnica di test che mira a sfruttare le vulnerabilità di sicurezza (conosciute o sconosciute) per ottenere l'accesso non autorizzato
Testing che si basa su o comporta l'uso di modelli
Una tecnica di test del software utilizzata per scoprire le vulnerabilità di sicurezza, immettendo enormi quantità di dati casuali, chiamati fuzz, nel componente o nel sistema.
Testing atto a determinare la sicurezza del prodotto software.
Tecnica di testing che risponde dinamicamente al sistema in test reale, ottenendo i relativi risultati. Esso ha normalmente un ciclo di pianificazione ridotto e le fasi di progettazione ed implementazione dei test non sono svolte sino al ricevimento del software.
Testing basato su un’analisi della struttura interna del componente o sistema.
Una transizione tra due stati di un componente o di un sistema.
Conferma per esame (e attraverso la fornitura di evidenze obiettive) che i requisiti, per un uso specifico e predefinito o per una applicazione, sono stati soddisfatti.
Un elemento di memorizzazione in un computer che è accessibile da un programma software tramite un nome di riferimento.
Conferma per esame (e attraverso la fornitura di evidenze obiettive) che specifici requisiti sono stati soddisfatti.
Un punto debole del sistema che potrebbe consentire far riuscire un attacco di sicurezza.
Una sottorete con un livello di sicurezza predefinito. Ad es. Internet o una zona pubblica sarebbero considerati non sicuri.
Una sottorete fisica o logica che contiene ed espone i servizi di un'organizzazione esterna a una rete non sicura, normalmente Internet.