譯者注：想要了解更多關於網路安全領域的資訊?作者在本篇文章裡面已經建立了一份需要知道的術語表，以幫助讀者瞭解網路安全領域的相關內容。以下為譯文。

軟體開發中的安全主題常常對不同的團隊有許多不同的含義。為了幫助解答圍繞安全性的問題和困惑，DZone的Editorial團隊編制了一份讀者應該知道的與安全相關的最重要的術語列表。

A

異常檢測：人工智慧和深度學習具有檢測異常登入，網路內部移動或檔案輸出的能力。

應用程式安全性(AppSec)：一個可以讓專家專注於應用程式的安全設計方面，並且更加熟悉程式設計的IT領域。

身份驗證：在請求訪問系統中的資源時，確認使用者身份的一種機制。當用戶通過諸如密碼之類的機制來確認身份時，通常會向用戶授予訪問令牌。

B

比特幣：一種不受任何管理機構控制的數字貨幣(加密貨幣)。

區塊鏈：一個大型的交易資料庫，也被稱為交易分類帳。

C

內容分發網路(CDN)：一個託管的、地理分佈的伺服器網路，它可以改善網站的檔案傳輸和效能。它還包含了諸如DDoS保護之類的安全特性。

持續威脅管理：基於預防技術的適應性和預見性防禦，為及時的事件反應做好準備。

跨站點請求偽造(CSRF)：一個惡意的web攻擊，一個攻擊程式迫使一個使用者的瀏覽器在一個使用者當前身份驗證的站點上執行不需要的操作。

跨站點指令碼(XSS)：通過客戶端指令碼攻擊應用程式的一種型別的注入攻擊，通常是JavaScript。

加密貨幣：一種加密的數字交換，其加密技術被用作一種方法，以確保被監管和驗證的安全交易發生。

網路安全：一種旨在保護計算機、資料和網路免受潛在攻擊或未經授權的訪問的實踐。

D

資料過濾：未經授權的資料傳輸。它可以手動執行，也可以通過一個惡意的自動化程式進行。

分散式自治組織(DAO)：一個作為風險資本基金形式的組織。它通過智慧合同執行，其交易記錄儲存在區塊鏈中。

拒絕服務攻擊(DDoS)：一種型別的攻擊，它使用多個受攻擊的系統，這些系統被迫訪問一個網站或系統，並使其頻寬過載，從而導致停機。

DevSecOps：將安全性整合到DevOps方法中。

動態應用程式安全測試(DAST)：對應用程式安全性的分析，它只監視執行時環境和在其中執行的程式碼。它模擬潛在的攻擊，並分析結果。

E

加密：一種對資料進行編碼的方法，使它對沒有解密方法的各方來說是不可讀的。

開發：利用計算機軟體或硬體中的漏洞來產生不良行為的一段程式碼。

I

注入攻擊：攻擊者將惡意程式碼通過應用程式傳遞到另一個系統，以惡意操縱應用程式。這些攻擊可以通過系統呼叫、通過shell命令的外部程式或通過查詢語言(SQL)注入的資料庫來攻擊作業系統。

**互動式應用程式安全測試(IAST)：**SAST和DAST的組合，通常以代理的形式實現，該代理可以監視攻擊並識別測試執行時環境中的漏洞。

M

惡意軟體：指對計算機或程式造成傷害的軟體。

O

混淆層：設計為在關鍵的程式碼部分提供高級別的保護。

開放的web應用程式安全專案(OWASP)：一個由企業、教育組織和個人提供的線上社群，致力於為更廣泛的開發社群提供web安全工具、資源、事件等等。

R

勒索軟體：一種惡意軟體，它會限制或阻止對受害者的系統的訪問，直到支付贖金，通常是比特幣這樣的加密貨幣。

風險管理：根據公司或行業的情況，優先考慮最重要的事情。

執行時應用程式自我保護(RASP)：一種內建在應用程式中的特性，可以自動檢測和阻止攻擊。

Reentrancy攻擊：不受信任的程式碼重新輸入契約並操縱狀態的攻擊。

S

安全套接字層(SSL)：一種加密的連結，它可以作為一種保護資訊保安的手段，它可以在web伺服器和私有瀏覽器之間傳遞。

安全設計：安全在SDLC開始時整合。

單點登入(SSO)：使用者或會話身份驗證過程，允許使用者輸入一組憑證，以便訪問由SSO軟體連線的多個應用程式。

SQL注入：一種程式碼注入技術，用於攻擊資料驅動的應用程式，在該應用程式中，將邪惡的SQL語句插入到一個輸入欄位中，以便執行。

靜態應用程式安全測試(SAST)：對應用程式的安全性進行分析，檢視應用程式的原始碼、位元組碼或二進位制程式碼，以確定是否有某些部件可以允許攻擊者進行安全性行為。

T

威脅向量：黑客(或破壞者)可以訪問計算機或網路伺服器的路徑或方法，以便交付有效負載或惡意結果。

圖靈完備：如果沒有考慮到記憶體或執行時的限制，理論上可以解決任何計算問題。

W

Web應用程式防火牆(WAF)：一個基於可定製規則監視、過濾和阻塞HTTP傳輸的裝置或應用程式。

Z

零日：軟體製造商或反病毒供應商目前所不知道的一個漏洞。它還引用了一段程式碼，允許攻擊者利用一個零日漏洞。