Narzędzie wykonujące analizę statyczną.
Narzędzie wykonujące analizę statyczną.
Oprogramowanie używane do wykrywania i niszczenia złośliwego oprogramowania (malware).
(1) Osoba, która definiuje zalecenia i kierunki strategiczne dla organizacji testów i jej związków z innymi dziedzinami. (2) Osoba która definiuje sposób, w jaki testy są modelowane dla danego systemu, włączając w to takie zagadnienia jak narzędzia testowe i zarządzanie danymi testowymi.
Próba uzyskania nieautoryzowanego dostępu do modułu lub systemu, zasobów, informacji lub próba naruszenia integralności systemu.
Osoba lub proces, który ma zamiar mieć dostęp do danych, funkcji lub innych zastrzeżonych obszarów systemu bez autoryzacji, potencjalnie ze złośliwą intencją.
Audyt sprawdzający procesy zabezpieczeń oraz infrastrukturę w organizacji.
Zgoda udzielana użytkownikowi lub procesowi do dostępu do zasobów.
Atak na zabezpieczenia, mający na celu przeładowanie systemu żądaniami tak, by uprawnione żądania nie mogły być obsługiwane.(od ang. DoS Denial of Service)
Sieć zaatakowanych komputerów, zwanych botami lub robotami, sterowana przez osoby trzecie i używana do przesyłania zagrożeń lub spamu lub do przeprowadzania ataków.
Działanie człowieka powodujące powstanie nieprawidłowego rezultatu.
Atak, który pozwala atakującemu na wstrzykniecie złośliwego kodu w czyjąś dotychczas bezpieczną stronę internetową.
Czynności wykonywane na każdym etapie wytwarzania oprogramowania oraz układ ich wzajemnych relacji logicznych i chronologicznych. (SDLC - od ang. software development lifecycle).
Okres czasu rozpoczynający się, kiedy pojawi się pomysł na oprogramowanie i kończący się, gdy oprogramowanie nie jest już dostępne do użytku. Zazwyczaj cykl życia oprogramowania zawiera fazę koncepcji, fazę wymagań, fazę projektowania, fazę implementacji, fazę testów, fazę instalacji i zastępowania, fazę wykorzystania produkcyjnego i pielęgnowania oraz - czasami - fazę wycofania. Uwaga: te fazy mogą na siebie nachodzić lub mogą być wykonywane iteracyjnie.
Tester zabezpieczeń używający technik hakerskich.
Moduł lub zbiór modułów, które kontrolują ruch sieciowy - wchodzący i wychodzący - zgodnie z określonymi z góry zasadami bezpieczeństwa.
Technika testowania oprogramowania używana do wykrywania zagrożeń zabezpieczeń przez wprowadzanie bardzo dużej liczby losowych danych, zwanych "fuzz" (ang. farfocle), do modułu lub systemu.
Rodzaj interfejsu, który umożliwia użytkownikom interakcję z komponentem lub systemem za pomocą graficznych ikon i wizualnych wskaźników. (GUI od ang. Graphical User Interface).
Osoba lub organizacja aktywnie zaangażowana w ataki na zabezpieczenia, na ogół z intencją szkodzenia. .
Transformacja zmiennej znakowej o zmiennej długości do na ogół krótszej, o stałej długości lub na klucz. Zhaszowane wartości, hasze, są często używane przy sprawdzeniu w tabeli lub bazie danych. Kryptograficzne funkcje haszujące są używane do zabezpieczania danych.
Ogólnie rozpoznawalna praktyczna zasada wspomagająca osiągnięcie celu.
Praktyka określająca dlaczego atak na zabezpieczenia się powiódł i oceniająca wyrządzone szkody.
Element języka programowania, który jest zwykle najmniejszą niepodzielną jednostką wykonania.
Wyrażenie w kodzie źródłowym, które po tłumaczeniu na kod binarny będzie wykonywane w sposób proceduralny.
Stopień w jakim moduł lub system zapobiega nieautoryzowanemu dostępowi oraz modyfikacji modułu, systemu lub danych.
Rodzaj interfejsu, w którym moduły lub systemy wymieniają informacje o określonej formalnej strukturze. (API - akronim od ang. Application Programing Interface).
Wszystkie moduły systemu, które dostarczają informacji i nadzorują użytkownika, by zrealizować określone zadania systemu.
Systematyczna ocena procesu pozyskiwania, dostarczania, wytwarzania eksploatacji lub pielęgnacji oprogramowania przez kierownictwo lub w jego imieniu, monitorująca postęp, określająca status planów i harmonogramów, potwierdzająca wymagania i ich alokację systemową lub oceniająca skuteczność podejść do zarządzania w celu osiągnięcia przydatności do określonego celu.
Metryka wspierająca ocenę wydajności procesu.
Transformacja zmiennej znakowej o zmiennej długości do na ogół krótszej, o stałej długości lub na klucz. Zhaszowane wartości, hasze, są często używane przy sprawdzeniu w tabeli lub bazie danych. Kryptograficzne funkcje haszujące są używane do zabezpieczania danych.
Skala pomiaru i sposób jej stosowania do pomiarów.
Liczba bądź kategoria przypisana do atrybutu/cechy obiektu poprzez wykonanie pomiaru.
Czynności wykonywane na każdym etapie wytwarzania oprogramowania oraz układ ich wzajemnych relacji logicznych i chronologicznych. (SDLC - od ang. software development lifecycle).
Struktura, w której procesy tego samego rodzaju są sklasyfikowane w ogólnym modelu.
Narzędzie wykonujące analizę statyczną.
Narzędzie testowe, które wykonuje testy na wyznaczonym obiekcie testowym i ocenia wyniki w stosunku do oczekiwanych wyników i warunków końcowych.
Narzędzie programistyczne, które jest dostępne dla wszystkich potencjalnych użytkowników w postaci kodu źródłowego, zwykle poprzez Internet, na ogół w postaci licencji na badanie, zmienianie, poprawianie i czasami dystrybuowanie oprogramowania.
Formalny, o ile to możliwe obowiązkowy, zbiór wymagań stworzony i używany do opisu zalecanego spójnego podejścia do sposobu pracy lub do dostarczania wytycznych (np. normy ISO/IEC, normy IEEE lub normy w organizacjach).
Badanie docelowych obszarów mające na celu zbieranie informacji, które mogą być użyte do ataku.
Atak na zabezpieczenia mający na celu przekierować ruch ze strony internetowej na fałszywą stronę internetową bez wiedzy lub zgody użytkownika.
Usiłowanie zdobycia osobistej lub istotnej informacji poprzez podawanie się za wiarygodny podmiot w komunikacji elektronicznej.
Czynność tworzenia planów testów lub wprowadzanie do nich zmian
Dokument wysokiego poziomu opisujący zasady, podejście i główne zadania w organizacji dotyczące testowania.
Dokument wysokiego poziomu opisujący zasady, podejście i główne zadania w organizacji dotyczące testowania.
Wysokopoziomowy dokument opisujący zasady, podejście i podstawowe cele w organizacji dotyczące zabezpieczeń.
Działanie człowieka powodujące powstanie nieprawidłowego rezultatu.
Prawdopodobieństwo, że ryzyko wystąpi jako rzeczywisty wynik lub zdarzenie.
Prawdopodobieństwo, że ryzyko wystąpi jako rzeczywisty wynik lub zdarzenie.
Poziom (biznesowej) ważności określony dla elementu, np. defektu.
Zbiór kroków potrzebnych do zaimplementowania polityki zabezpieczeń oraz kroków, które powinny być podjęte w przypadku incydentu z zabezpieczeniami.
Zabezpieczenie informacji umożliwiających identyfikację osoby lub innych danych wrażliwych przed niepowołanym ujawnieniem.
Ciąg możliwych zmian stanu obiektów danych.
Przypadek użycia, w którym pewni aktorzy mający intencję szkodzenia powodują uszkodzenia w systemie lub przeszkadzają innym aktorom.
Zbieranie i analizowanie danych z aktywności testowych, a następnie konsolidacja tych danych w raporcie dla interesariuszy.
Badanie docelowych obszarów mające na celu zbieranie informacji, które mogą być użyte do ataku.
Konsekwencja/wynik wykonania testu.
Konsekwencja/wynik wykonania testu.
Czynnik, który w przyszłości może skutkować negatywnymi konsekwencjami.
ryzyko jakości związane z zabezpieczeniami.
wytworzone/zaobserwowane zachowanie się modułu lub systemu, podczas gdy ten moduł lub system jest testowany.
wytworzone/zaobserwowane zachowanie się modułu lub systemu, podczas gdy ten moduł lub system jest testowany.
Stopień w jakim moduł lub system może być dostosowany do zmieniającego się obciążenia.
Statyczny analizator używany do wykrywania bezbronności bezpieczeństwa w kodzie.
Analiza statyczna mająca na celu wykrycie i usuniecie złośliwego kodu otrzymanego przez interfejs.
Osoba wykonująca ataki na zabezpieczenia stworzone przez innych hakerów zamiast swoich własnych.
Technika kryptograficzna, w której dodaje się dane losowe (tzw. sól) do danych użytkownika przed haszowaniem.
Środowisko, w skład którego wchodzi sprzęt, wyposażenie, symulatory, narzędzia programistyczne oraz inne elementy wspierające, potrzebne do wykonania testu.
Rodzaj wstrzyknięcia kodu w zapytanie języka SQL.
Formalny, o ile to możliwe obowiązkowy, zbiór wymagań stworzony i używany do opisu zalecanego spójnego podejścia do sposobu pracy lub do dostarczania wytycznych (np. normy ISO/IEC, normy IEEE lub normy w organizacjach).
standard opisujący cechy projektu lub opis projektu danych lub modułów programu.
Podsieć ze zdefiniowanym poziomem zaufania. Na przykład Internet lub strefy publiczne powinny być rozważane jako pozbawione zaufania.
Fizyczna lub logiczna podsieć, która zawiera i udostępnia zewnętrzne serwisy organizacji dla niezaufanej sieci, na ogół dla Internetu. (DMZ od ang. Demilitarized Zone)
Złożone, heterogeniczne, rozproszone systemy, które mogą być zagnieżdżone w sieciach na wielu poziomach i w wielu połączonych dziedzinach, ukierunkowane na rozwiązywanie interdyscyplinarnych problemów i zamierzeń o wielkiej skali, na ogół bez wspólnej struktury zarządczej.
System, który monitoruje działalność na wszystkich 7 warstwach modelu OSI od poziomu sieci do poziomu aplikacji, by wykrywać naruszenia w polityce bezpieczeństwa. (IDS od ang. Intrusion Detection System).
Proces kodowania informacji w ten sposób, by tylko upoważnione strony mogły pobierać oryginalną informację, na ogół przy użyciu określonego klucza dekodującego lub specjalnego procesu.
Przedstawienie dynamicznych miar wydajności operacyjnej pewnej organizacji lub pewnego działania, przy użyciu metaforycznych metryk, takich jak wizualne zegary, liczniki i inne wskaźniki podobne do tych na desce rozdzielczej samochodu, tak żeby skutki zdarzeń i działań były zrozumiałe i mogły być w prosty sposób powiązane z celami operacyjnymi.
Zestaw jednego lub więcej przypadków testowych.
Poziom testów zorientowany na ustalenie, czy zaakceptować system.
Testowanie oparte na analizie wewnętrznej struktury modułu lub systemu.
Testowanie oparte na analizie wewnętrznej struktury modułu lub systemu.
Technika testowania oprogramowania używana do wykrywania zagrożeń zabezpieczeń przez wprowadzanie bardzo dużej liczby losowych danych, zwanych "fuzz" (ang. farfocle), do modułu lub systemu.
Testowanie oparte na lub wykorzystujące modele. (MBT - od ang. Model-Based Testing) .
Technika testowania mająca na celu odkrycie słabych punktów zabezpieczeń (znanych lub nie), by uzyskać nieautoryzowany dostęp.
Testowanie oparte na analizie wewnętrznej struktury modułu lub systemu.
Testowanie oparte na analizie wewnętrznej struktury modułu lub systemu.
Testowanie oparte na analizie wewnętrznej struktury modułu lub systemu.
Testowanie oparte na analizie wewnętrznej struktury modułu lub systemu.
Testowanie oparte na analizie wewnętrznej struktury modułu lub systemu.
Testowanie oparte na analizie wewnętrznej struktury modułu lub systemu.
Testowanie mające na celu sprawdzenie zabezpieczeń oprogramowania.
Środki, które osłaniają i bronią informacje i systemy informacyjne poprzez zapewnienie ich dostępności, integralności, uwierzytelniania, poufności i niezaprzeczalności. Te środki obejmują warunkowe odtwarzanie systemów informacyjnych poprzez włączenie możliwości ochrony, wykrywania i reakcji.
Proces stopniowego (krok za krokiem) redukowania zagrożeń zabezpieczeń systemu poprzez stosowanie polityki zabezpieczeń i różnych poziomów ochrony.
Procedura określająca, czy osoba lub proces jest naprawdę tym, lub czym deklaruje, że jest.
Sprawdzanie poprawności i dostarczenie obiektywnego dowodu, że produkt procesu wytwarzania oprogramowania spełnia potrzeby i wymagania użytkownika.
Stopień wpływu defektu na rozwój lub działanie modułu lub systemu.
Ścieżka lub środek, dzięki któremu atakujący może uzyskać dostęp do systemu w złośliwych celach.
Sprawdzenie poprawności i dostarczenie obiektywnego dowodu, że produkt procesu wytwarzania oprogramowania spełnia zdefiniowane wymagania.
Złożone, heterogeniczne, rozproszone systemy, które mogą być zagnieżdżone w sieciach na wielu poziomach i w wielu połączonych dziedzinach, ukierunkowane na rozwiązywanie interdyscyplinarnych problemów i zamierzeń o wielkiej skali, na ogół bez wspólnej struktury zarządczej.
Szkoda, jaka powstanie jeżeli ryzyko zmaterializuje się jako rzeczywisty skutek lub zdarzenie.
Szkoda, jaka powstanie jeżeli ryzyko zmaterializuje się jako rzeczywisty skutek lub zdarzenie.
Słabość w systemie, która może umożliwić udany atak na zabezpieczenia.
Metryka wspierająca ocenę wydajności procesu.
Konsekwencja/wynik wykonania testu.
Konsekwencja/wynik wykonania testu.
Zagrożenie zabezpieczeń, mające swe źródło w organizacji, często będące autoryzowanym użytkownikiem systemu.
Przekształcenie danych w ten sposób, by utrudnić człowiekowi poznanie danych oryginalnych.
Faza testów, w której zbierane są dane z zakończonych aktywności w celu podsumowania doświadczeń, testaliów, faktów i liczb. Faza zamknięcia testów składa się z finalizowania i archiwizacji testaliów i oceny procesu testowego, włączając w to przygotowanie raportu oceny testu.
(1) Ustrukturalizowane podejście do przejścia (przechodzenia) jednostek i organizacji z bieżącego stanu do przyszłego pożądanego stanu. (2) Kontrolowany sposób wprowadzania zmiany, lub proponowanej zmiany, do produktu lub usługi.
Szkieletowa albo specjalna implementacja modułu używana podczas produkcji lub testów innego modułu, który tę zaślepkę wywołuje albo jest w inny sposób od niej zależny. Zaślepka zastępuje wywoływany moduł.
Proces otrzymywania informacji o kontach użytkowników w oparciu o wersje próbne i błędy w intencji użycia tych danych w ataku na zabezpieczenia.
Oprogramowanie przeznaczone do uszkodzenia systemu lub jego modułów.
Stopień, w jakim projekt lub wewnętrzna struktura modułu lub systemu jest trudna do zrozumienia, utrzymania i zweryfikowania.
Atak na zabezpieczenia odgadujący hasła dostępu w systemie komputerowym lub przesyłane w sieci.
Środowisko, w skład którego wchodzi sprzęt, wyposażenie, symulatory, narzędzia programistyczne oraz inne elementy wspierające, potrzebne do wykonania testu.
Ciąg sąsiednich krawędzi w grafie skierowanym.
Ciąg sąsiednich krawędzi w grafie skierowanym.
Środowisko dla modułu lub systemu planowane do wykorzystania w produkcji.
Środowisko, w skład którego wchodzi sprzęt, wyposażenie, symulatory, narzędzia programistyczne oraz inne elementy wspierające, potrzebne do wykonania testu.