Ambiente que contém hardware, instrumentação, simuladores, ferramentas de software e outros elementos de suporte necessários para realizar um teste.
Produtos de hardware e software instalados nas instalações dos utilizadores ou clientes onde o componente ou sistema sob teste será usado. O software pode incluir sistemas operativos, sistemas de gestão de bases de dados e outras aplicações.
Uma ameaça de segurança proveniente do interior da própria organização, frequentemente por um utilizador autorizado do sistema.
Ferramenta que efetua análise estática.
Software usado para detetar e travar malware.
(1) Pessoa que fornece orientações e direções estratégicas para uma organização de teste e para o seu relacionamento com outras disciplinas. (2) Uma pessoa que define a forma como o teste é estruturado para um determinado sistema, incluindo tópicos como ferramentas de teste e gestão de dados de teste.
Uma tentativa para obter acesso não autorizado a um componente ou sistema, obter recursos, obter informação ou uma tentativa de comprometer a integridade do sistema.
Utilizador ou qualquer outra pessoa ou sistema que interage com o objeto de teste de uma forma específica.
Uma auditoria que avalia os processos de segurança e a infraestrutura de uma organização.
Um procedimento que determina se uma pessoa ou um processo é, na verdade, quem ou o que diz ser.
Permissão dada a um utilizador ou processo para aceder a recursos.
Um método superior ou prática inovadora que contribui para um melhor desempenho de uma organização em determinado contexto, geralmente reconhecido como "boa" por outras organizações pares.
Uma rede de computadores comprometidos, denominados bots ou robôs, que é controlada por terceiros e usada para transmitir malware ou spam ou para iniciar ataques.
Uma sequência de eventos, por exemplo, as instruções executáveis de um componente ou sistema, desde um ponto de entrada até um ponto de saída.
Atributo distintivo de um componente ou sistema.
Um caso de uso em que alguns atores, com intenção maliciosa, estão deliberadamente a causar danos ao sistema ou a outros atores.
As atividades realizadas em cada fase do desenvolvimento de software e a forma como elas se relacionam entre si lógica e cronologicamente.
Período de tempo que começa quando um produto de software é concebido e termina quando o software deixa de estar disponível para utilização. O ciclo de vida do software normalmente inclui uma fase de conceptualização, uma fase de requisitos, uma fase de desenho, uma fase de implementação, uma fase de teste, uma fase de instalação e verificação, uma fase de operação e manutenção e, por vezes, uma fase de descontinuação. Estas fases podem sobrepor-se ou ser efetuadas iterativamente.
O grau em que um componente ou sistema possui um design e / ou estrutura interna que é difícil de entender, manter e verificar.
Composição de um componente ou sistema, tal como definido pelo número, natureza e interconexões das suas partes constituintes.
Uma vulnerabilidade que permite que invasores injetem código malicioso num site que de outra forma seria benigno.
Um ataque de segurança que recupera palavras-passe secretas armazenadas num sistema informático ou transmitidas através de uma rede.
O processo de codificação de informações para que apenas as partes autorizadas possam obter as informações originais, geralmente através de uma chave ou processo de desencriptação específico.
Uma tentativa de enganar alguém para revelar informações (por exemplo, uma palavra-passe) que pode ser usada para atacar sistemas ou redes.
Dados recebidos de uma fonte externa pelo objeto de teste durante a execução do teste. A fonte externa pode ser hardware, software ou um elemento humano.
Uma ação humana que produz um resultado incorreto.
A capacidade do produto de software para ser atualizado para acomodar cargas maiores.
Documentação que fornece uma descrição detalhada de um componente ou sistema para o respetivo desenvolvimento e teste.
O processo de obtenção de informações de contas de utilizadores com base em tentativa e erro, com a intenção de usar essas informações num ataque de segurança.
Durante a fase de fecho dos testes de um processo de teste, são recolhidos dados das atividades concluídas para consolidar a experiência, o testware, os factos e os números. A fase de fecho dos testes consiste em finalizar e arquivar o testware e avaliar o processo de teste, incluindo a preparação de um relatório de avaliação de teste.
Ferramenta de teste que executa testes em relação a um item de teste designado e avalia os resultados em relação aos resultados esperados e às pós-condições.
Ferramenta que suporta o registo de requisitos, atributos de requisitos (por exemplo, prioridade e conhecimento responsável) e anotações. Facilita a rastreabilidade através de níveis de requisitos e da gestão de alterações de requisitos. Algumas ferramentas de gestão de requisitos também fornecem componentes para análise estática, como a verificação de consistência e violações às regras de requisitos predefinidos.
Ferramenta que dá suporte a segurança operacional.
Ferramenta de software que está disponível para todos os utilizadores potenciais em formato de código-fonte, geralmente através da Internet. Os seus utilizadores podem, geralmente sob licença, estudar, alterar, melhorar e, às vezes, até distribuir o software.
Um componente ou conjunto de componentes que controla o tráfego de rede de entrada e saída com base em regras de segurança pré-determinadas.
Uma representação abstrata da sequência e possíveis alterações do estado dos objetos de dados, em que o estado de um objeto corresponde a qualquer criação, utilização ou destruição.
O processo passo a passo que visa reduzir as vulnerabilidades de segurança de um sistema aplicando uma política de segurança e diferentes camadas de proteção.
Medidas que protegem e defendem a informação e os sistemas de informação, garantindo a sua disponibilidade, integridade, autenticação, confidencialidade e não-repúdio. Estas medidas incluem o restabelecimento de sistemas de informação através da incorporação de capacidades de proteção, deteção e reação.
(1) Uma abordagem estruturada para a transição de indivíduos e organizações de um estado atual para um estado futuro pretendido. (2) Forma controlada de efetuar uma alteração, ou uma alteração proposta, a um produto ou serviço.
O grau de impacto que um defeito tem no desenvolvimento ou funcionamento de um componente ou sistema.
Uma pessoa ou organização que está ativamente envolvida em ataques de segurança, normalmente com intenção maliciosa.
Um testador de segurança que utiliza técnicas de hacker.
Transformação de uma cadeia de caracteres de comprimento variável num valor ou chave normalmente menor de comprimento fixo. Os valores de hash, ou hashes, são geralmente usados em pesquisas de tabelas ou bases de dados. As funções de hashes criptográficos são usadas para proteger dados.
Um princípio básico geralmente reconhecido que ajuda a alcançar um objetivo.
Os danos que serão causados se o risco se tornar um resultado ou evento real.
Métrica que suporta a avaliação do desempenho do processo.
A prática de determinar como um ataque de segurança foi bem-sucedido e avaliar os danos causados.
Um ataque de segurança que consiste em inserir instruções SQL maliciosas num campo de entrada para execução.
Entidade numa linguagem de programação que é tipicamente a menor unidade indivisível de execução.
Uma instrução que, quando compilada, é traduzida em código do objeto e que será executada de forma processual quando o programa estiver em execução e conseguir executar uma ação sobre os dados.
O processo de combinação de componentes ou sistemas em conjuntos maiores.
O grau em que um componente ou sistema permite apenas o acesso e a modificação autorizados a um componente, a um sistema ou a dados.
Tipo de interface em que os componentes ou sistemas envolvidos trocam informações numa estrutura formal definida.
Todos os componentes de um sistema que fornecem informações e controlos para que o utilizador realize tarefas específicas com o sistema.
Um tipo de interface que permite que os utilizadores interajam com um componente ou sistema por meio de ícones gráficos e indicadores visuais.
Uma pessoa ou processo que tenta aceder a dados, funções ou outras áreas restritas do sistema sem autorização, potencialmente com intenção maliciosa.
Software destinado a prejudicar um sistema ou os seus componentes.
Ponto temporal num projeto no qual as entregas e os resultados definidos (intermediários) devem estar prontos.
Número ou categoria atribuído a um atributo de uma entidade através de uma medição.
Programa de atividades destinado a melhorar o desempenho e a maturidade dos processos organizacionais e o resultado do próprio programa.
Framework em que os processos da mesma natureza são classificados num modelo global.
Escala de medição e o método utilizado para a medição.
Um ataque de segurança destinado a sobrecarregar o sistema com pedidos, de modo a que não seja possível responder aos pedidos legítimos.
Conjunto de requisitos formais, possivelmente obrigatório, desenvolvidos e utilizados para prescrever abordagens consistentes à forma de trabalhar ou para fornecer orientações (por exemplo, normas ISO/IEC, normas IEEE e normas organizacionais).
Norma que descreve as características de uma conceção ou uma descrição de conceção dos dados ou componentes do programa.
Transformação de dados que torna difícil para um ser humano reconhecer os dados originais.
Uma representação de medições dinâmicas do desempenho operacional para alguma organização ou atividade, utilizando métricas representadas por metáforas, como indicadores visuais, contadores e outros dispositivos semelhantes aos do painel de instrumentos de um automóvel, de modo a que os efeitos de eventos ou atividades possam ser facilmente compreendidos e relacionados com objetivos operacionais.
Um ataque de segurança destinado a redirecionar o tráfego de um site para outro site fraudulento sem o conhecimento ou consentimento do utilizador.
Uma tentativa de obter informações pessoais ou sensíveis, mascarando o seu autor como uma entidade confiável numa comunicação eletrónica.
A atividade de estabelecer ou atualizar um plano de testes.
Um documento de alto nível que descreve os princípios, a abordagem e os principais objetivos da organização em relação à segurança.
Documento de alto nível que descreve os princípios, a abordagem e os principais objetivos da organização em relação aos testes.
Nível de importância (de negócio) atribuído a um item, por exemplo, um defeito.
A proteção de informações pessoalmente identificáveis ou outras informações sensíveis contra a divulgação indesejada.
A probabilidade estimada de um risco se tornar um resultado ou evento real.
Um conjunto de passos necessários para implementar a política de segurança e os passos a serem adotados em resposta a um incidente de segurança.
Conjunto de atividades inter-relacionadas que transformam entradas (“inputs”) em saídas (“outputs”).
Conjunto único de atividades coordenadas e controladas, com datas de início e de fim, realizado para alcançar um objetivo em conformidade com requisitos específicos, incluindo as restrições de tempo, custo e recursos.
A exploração de uma área-alvo com o objetivo de obter informações que possam ser úteis para um ataque.
Recolha e análise de dados das atividades de teste e, posteriormente, consolidação dos dados num relatório para informar os “Stakeholders”.
O comportamento produzido/observado quando um componente ou sistema é testado.
Consequência/resultado da execução de um teste. Inclui saídas (“outputs”) para ecrãs, alterações aos dados, relatórios e comunicações enviadas.
Fator que pode resultar em futuras consequências negativas.
Um risco de qualidade relacionado com a segurança.
Uma técnica criptográfica que adiciona dados aleatórios (denominados de “sal”) aos dados do utilizador antes do hash.
Um analisador estático usado para detetar vulnerabilidades de segurança específicas no código.
Uma pessoa que executa ataques de segurança criados por outros hackers em vez de criar os seus próprios ataques.
Uma implementação elementar ou com finalidade específica de um componente de software, usada para desenvolver ou testar o componente que invoca ou que de outra forma depende dele. Substitui um componente invocado.
Um sistema que monitoriza as atividades nas 7 camadas do modelo OSI, desde a rede até ao nível da aplicação, a fim de detetar violações da política de segurança.
Sistemas heterogéneos, múltiplos e distribuídos que são incorporados em redes em vários níveis e em domínios interligados múltiplos, abordando problemas e finalidades comuns interdisciplinares em larga escala e geralmente sem uma estrutura de gestão comum.
Programas informáticos, procedimentos, eventuais dados e documentação associada relativos ao funcionamento de um sistema informático.
Conjunto de um ou mais casos de teste.
Teste baseado em ou envolvendo modelos.
Testes baseados numa análise da estrutura interna do componente ou sistema.
Um nível de teste que se concentra em determinar se o sistema deve ser aceite.
Uma técnica de teste de software usada para descobrir vulnerabilidades de segurança, introduzindo quantidades enormes de dados aleatórios, denominados fuzz, no componente ou sistema.
Uma técnica de teste que visa explorar vulnerabilidades de segurança (conhecidas ou desconhecidas) para obter acesso não autorizado.
Testar para determinar a segurança de um produto de software.
Transição entre dois estados de um componente ou sistema.
Confirmação por análise e fornecimento de provas objetivas de que os requisitos foram cumpridos para uma utilização ou pedido específico.
Um elemento de armazenamento num computador, acessível por um programa de software, quando se refere ao mesmo por um nome.
Análise estática com o objetivo de detetar e remover código malicioso recebido numa interface.
Confirmação por análise e fornecimento de provas objetivas de que os requisitos especificados foram cumpridos.
Um caminho ou os meios pelos quais um invasor pode obter acesso a um sistema para fins maliciosos.
Uma fraqueza no sistema que poderia permitir um ataque de segurança bem-sucedido.
Uma subrede com um nível de confiança definido. Por exemplo, a Internet ou uma zona pública seriam consideradas não confiáveis.
Uma subrede física ou lógica que contém e expõe os serviços externos de uma organização a uma rede não confiável, geralmente a Internet.