Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Update GLOSSARY.md #9

Merged
merged 1 commit into from
May 28, 2020
Merged

Update GLOSSARY.md #9

Changes from all commits
Commits
Show all changes
1 commit
Select commit
File filter

Filter by extension

Filter by extension
Conversations
Failed to load comments.
Loading
Jump to
Jump to file
Failed to load files.
Loading
Diff view
Diff view
162 changes: 81 additions & 81 deletions Document-ptbr/GLOSSARY.md
View file
Open in desktop
Original file line number Diff line number Diff line change
@@ -1,161 +1,161 @@
# Appendix A: Glossary
# Apêndice A: Glossário

## Address Space Layout Randomization (ASLR)
## Arquitetura de Segurança

A technique to make exploiting memory corruption bugs more difficult.
Uma abstração do planejamento da aplicação que identifica e descreve onde e como os controles de segurança são usados, e também identifica e descreve a localização e sensibilidade dos dados do usuário e da aplicação.

## Application Security
## Autenticação SSO

Application-level security focuses on the analysis of components that comprise the application layer of the Open Systems Interconnection Reference Model (OSI Model), rather than focusing on for example the underlying operating system or connected networks.
Autenticação Única (*Single Sign-On* - SSO) ocorre quando um usuário se autentica em um Cliente e então é autenticado em outros Clientes automaticamente, independente da plataforma, tecnologia ou domínio que o usuário está utilizando. Por exemplo, quando você se autentica no Google você será autenticado automaticamente no YouTube, Docs e serviço de email.

## Application Security Verification
## Autenticação

The technical assessment of an application against the OWASP MASVS.
A verificação da identidade reclamada por um usuário da aplicação.

## Application Security Verification Report
## *Bytecode* Java

A report that documents the overall results and supporting analysis produced by the verifier for a particular application.
*Bytecode* Java é um grupo de instruções da Máquina Virtual Java (JVM). Cada *bytecode* é composto por um, ou em alguns casos dois, *bytes* que representam uma instrução (*opcode*), junto com zero ou mais *bytes* para passagem de parâmetros.

## Authentication
## Certificado X.509

The verification of the claimed identity of an application user.
Um certificado X.509 é um certificado digital que utiliza o padrão globalmente reconhecido X.509 de Infraestrutura de Chave Pública (PKI) para verificar que uma chave pública pertence a um usuário, computador ou serviço identificado no certificado.

## Automated Verification
## Chaves *Hardcoded*

The use of automated tools (either dynamic analysis tools, static analysis tools, or both) that use vulnerability signatures to find problems.
Chaves criptográficas que são armazenadas no próprio dispositivo.

## Black box testing
## Código Malicioso

It is a method of software testing that examines the functionality of an application without peering into its internal structures or workings.
Código introduzido dentro da aplicação durante o seu desenvolvimento sem o consentimento do dono da aplicação, o qual contorna a política de segurança pretendida pela aplicação. Não é a mesma coisa que *malware*, vírus ou *worm*!

## Component
## Componente

a self-contained unit of code, with associated disk and network interfaces that communicates with other components.
Uma unidade de código autônoma, associada a um disco e a interfaces de rede que comunicam com outros componentes.

## Cross-Site Scripting (XSS)
## Comunicação Intra-Processos (IPC)

A security vulnerability typically found in web applications allowing the injection of client-side scripts into content.
Em IPC os processos se comunicam uns com os outros e com o *kernel* para coordenar suas atividades.

## Cryptographic module
## Configuração de Segurança

Hardware, software, and/or firmware that implements cryptographic algorithms and/or generates cryptographic keys.
A configuração de execução de uma aplicação que afeta como os controles de segurança são utilizados.

## CWE
## Controle de Segurança

CWE is a community-developed list of common software security weaknesses. It serves as a common language, a measuring stick for software security tools, and as a baseline for weakness identification, mitigation, and prevention efforts.
Uma função ou componente que executa uma checagem de segurança (por exemplo, uma checagem de controle de acesso) ou quando chamado tem resultados com efeitos na segurança (por exemplo gerar um registro de auditoria).

## DAST
## *Cross-Site Scripting* (XSS)

Dynamic application security testing (DAST) technologies are designed to detect conditions indicative of a security vulnerability in an application in its running state.
Uma vulnerabilidade de segurança tipicamente encontrada em aplicações *web*, permitindo a injeção de *scripts* do lado do cliente no conteúdo.

## Design Verification
## CWE

The technical assessment of the security architecture of an application.
CWE é uma lista desenvolvida de forma comunitária para falhas comuns de segurança. Ela serve como uma linguagem única, uma medida para ferramentas de segurança de *software* e como embasamento para identificação de falhas e esforços de mitigação e prevenção.

## Dynamic Verification
## Executável de Posição Independente (*Position Independent Executable* - PIE)

The use of automated tools that use vulnerability signatures to find problems during the execution of an application.
O PIE é um corpo de código de máquina que, sendo colocado em algum lugar da memória primária, executa corretamente independente do seu endereço absoluto.

## Globally Unique Identifier(GUID)
## Identificador Único Global (GUID)

a unique reference number used as an identifier in software.
Um número único de referência utilizado como identificador em um *software*.

## Hyper Text Transfer Protocol(HTTP)
## Informação de Identificação Pessoal (*Personally Identifiable Information* - PII)

An application protocol for distributed, collaborative, hypermedia information systems. It is the foundation of data communication for the World Wide Web.
PII são informações que podem ser utilizadas sozinhas ou em conjunto com outras informações para identificar, contatar ou localizar uma pessoa específica, ou para identificar um único indivíduo dentro de determinado contexto.

## Hardcoded keys
## Infraestrutura de Chave Pública (PKI)

Cryptographic keys which are stored in the device itself.
Uma PKI é um arranjo que liga chaves públicas com as respectivas identidades de entidades. A ligação é estabelecida através de um processo de registro e emissão de certificados em e por uma Autoridade Certificadora (CA).

## IPC
## Injeção de SQL (SQLi)

Inter Process Communications,In IPC Processes communicate with each other and with the kernel to coordinate their activities.
Uma técnica de injeção de código usada para atacar aplicações orientadas a dados nas quais declarações SQL maliciosas são inseridas em um ponto de entrada.

## Input Validation
## Lista Branca (*Whitelist*)

The canonicalization and validation of untrusted user input.
Uma lista de dados ou operações permitidos, por exemplo uma lista de caracteres que são aceitos em uma validação de entradas de usuário.

## JAVA Bytecode
## *Malware*

Java bytecode is the instruction set of the Java virtual machine(JVM). Each bytecode is composed of one, or in some cases two bytes that represent the instruction (opcode), along with zero or more bytes for passing parameters.
Código executável que é introduzido em uma aplicação em execução sem o conhecimento do usuário ou administrador da aplicação.

## Malicious Code
## Modelagem de Ameaças (*Threat Modeling*)

Code introduced into an application during its development unbeknownst to the application owner, which circumvents the application's intended security policy. Not the same as malware such as a virus or worm!
Técnica que consiste em desenvolver arquiteturas de segurança cada vez mais refinadas a fim de identificar agentes de ameaça, zonas e controles de segurança, técnicas importantes e ativos de negócio.

## Malware
## Módulo Criptográfico

Executable code that is introduced into an application during runtime without the knowledge of the application user or administrator.
*Hardware*, *Software* e/ou *firmware* que implementa algoritmos criptográficos e/ou gera chaves criptográficas.

## Open Web Application Security Project (OWASP)
## Projeto Aberto de Segurança de Aplicações *Web* (*Open Web Application Security Project* - OWASP)

The Open Web Application Security Project (OWASP) is a worldwide free and open community focused on improving the security of application software. Our mission is to make application security "visible," so that people and organizations can make informed decisions about application security risks. See: <https://www.owasp.org/>
A OWASP é uma comunidade mundial livre e aberta focada na melhoria da segurança de aplicações de *software*. Nossa missão é tornar a segurança de aplicações "visível", então as pessoas e organizações poderão tomar decisões conscientes sobre os riscos de segurança de aplicaçõves. Veja mais: <https://www.owasp.org/>.

## Personally Identifiable Information (PII)
## Protocolo de Transferência de Hipertexto (HTTP)

PII is information that can be used on its own or with other information to identify, contact, or locate a single person, or to identify an individual in context.
Um protocolo de aplicação para sistemas distribuídos, colaborativos e de informação de hipermídia. Ele é o fundamento para comunicação de dados na Rede Mundial (*World Wide Web* - WWW).

## PIE
## Randomização de Layout de Espaço de Endereço (*Address Space Layout Randomization* - ASLR)

Position-independent executable (PIE) is a body of machine code that, being placed somewhere in the primary memory, executes properly regardless of its absolute address.
Uma técnica para tornar mais díficil a exploração de erros de corrupção da memória.

## PKI
## Relatório de Verificação da Segurança de Aplicações

A PKI is an arrangement that binds public keys with respective identities of entities. The binding is established through a process of registration and issuance of certificates at and by a certificate authority (CA).
Um relatório que documenta os resultados gerais e dá suporte a análises produzidas pelo verificador para uma aplicação em particular.

## SAST
## SDLC

Static application security testing (SAST) is a set of technologies designed to analyze application source code, byte code and binaries for coding and design conditions that are indicative of security vulnerabilities. SAST solutions analyze an application from the “inside out” in a nonrunning state.
Sigla para Ciclo de Desenvolvimento de *Software* (*Software Development Life Cycle*).

## SDLC
## Segurança de Aplicações

Software development lifecycle.
Segurança em nível de aplicação foca na análise de componentes que fazem parte da camada de aplicação no Modelo de Referência de Interconexão de Sistemas Abertos (Modelo OSI), em vez de focar, por exemplo, no sistema operacional subjacente ou nas redes conectadas.

## Security Architecture
## Segurança de Camada de Transporte (*Transport Layer Security* - TLS)

An abstraction of an application's design that identifies and describes where and how security controls are used, and also identifies and describes the location and sensitivity of both user and application data.
Protocolos criptográficos que oferecem comunicação segura através da Internet.

## Security Configuration
## Teste Caixa Preta

The runtime configuration of an application that affects how security controls are used.
É o método de teste de *software* que examina a funcionalidade de uma aplicação sem levar em conta suas estruturas ou funcionamentos internos.

## Security Control
## Teste de Aceitação de Usuário (UAT)

A function or component that performs a security check (e.g. an access control check) or when called results in a security effect (e.g. generating an audit record).
Tradicionalmente um ambiente de testes que se comporta como o ambiente produtivo onde todos os testes de *software* são realizados antes de irem para produção.

## SQL Injection (SQLi)
## Teste Dinâmico de Segurança de Aplicações (DAST)

A code injection technique used to attack data driven applications, in which malicious SQL statements are inserted into an entry point.
Tecnologias DAST são desenhadas para detectar indicativos de condições para uma vulnerabilidade de segurança ocorrer em uma aplicação no seu estado funcional.

## SSO Authentication
## Teste Estático de Segurança de Aplicações (SAST)

Single Sign On(SSO) occurs when a user logs in to one Client and is then signed in to other Clients automatically, regardless of the platform, technology, or domain the user is using. For example when you log in in google you automatically login in the youtube , docs and mail service.
SAST é um grupo de tecnologias planejadas para analisar o código fonte, *bytecode* e binários de uma aplicação para identificar condições de codificação e planejamento que sejam indicativos de vulnerabilidades de segurança. Soluções SAST analisam a aplicação "de dentro para fora" em um estado de não-execução.

## Threat Modeling
## URI e URL

A technique consisting of developing increasingly refined security architectures to identify threat agents, security zones, security controls, and important technical and business assets.
Identificador de Recurso Uniforme (*Uniform Resource Identifier* - URI) é uma *string* de caracteres usada para identificar um nome ou recurso *web*. Um Localizador de Recurso Uniforme (*Uniform Resource Locator* - URL) é normalmente utilizado como uma referência a um recurso.

## Transport Layer Security
## Validação de Entradas

Cryptographic protocols that provide communication security over the Internet
A sanitização e validação de entradas de usuário não-confiáveis.

## URI and URL
## Verificação Automatizada

A Uniform Resource Identifier is a string of characters used to identify a name or a web resource. A Uniform Resource Locator is often used as a reference to a resource.
O uso de ferramentas automatizadas (tanto ferramentas de análise dinâmica, ferramentas de análise estática, quanto ambas) que usam assinaturas de vulnerabilidade para identificar problemas.

## User acceptance testing (UAT)
## Verificação de *Design*

Traditionally a test environment that behaves like the production environment where all software testing is performed before going live.
Avaliação técnica da arquitetura de segurança de uma aplicação.

## Verifier
## Verificação de Segurança de Aplicações

The person or team that is reviewing an application against the OWASP MASVS requirements.
Avaliação técnica de uma aplicação do ponto de vista do OWASP MASVS.

## Whitelist
## Verificação Dinâmica

A list of permitted data or operations, for example a list of characters that are allowed to perform input validation.
O uso de ferramentas automatizadas que usam assinaturas de vulnerabilidades para identificar problemas durante a execução de uma aplicação.

## X.509 Certificate
## Verificador

An X.509 certificate is a digital certificate that uses the widely accepted international X.509 public key infrastructure (PKI) standard to verify that a public key belongs to the user, computer or service identity contained within the certificate.
Pessoa ou time que está revisando uma aplicação de acordo com os requisitos OWASP MASVS.