■ SAST (Static Application Security Testing)
정적 애플리케이션 보안 테스팅
■ DAST (Dynamic Application Security Testing)
동적 애플리케이션 보안 테스팅
■ IAST (Interactive Application Security Testing) = SAST + DAST
상호작용 애플리케이션 보안 테스팅
■ RASP (Run-time Application Self-Protection)
실시간 애플리케이션 자가보호
■ DevOps(데브옵스)
소프트웨어의 개발(Development)과 운영(Operations)의 합성어로서, 소프트웨어 개발자와 정보기술 전문가 간의 소통, 협업 및 통합을 강조하는 개발 환경이나 문화를 말한다.
■ DevSecOps(데브시크옵스)
-애플리케이션 개발의 모든 과정에 정보 보안을 포함시키는 프로세스
-시작부터 보안을 염두에 둔 상태에서 설계를 하고, 비즈니스 목표와 보안 사이에 균형을 잡을 수 있음.
-DevOps 목적: 운영 팀을 개발 팀에 합류
-DevSecOps 목적: 개발 프로젝트의 모든 단계에 보안팀을 통합
■ SDLC(Software Development Life Cycle)
개발 라이프사이클
■ REST API(Representational State Transfer API)
<대표적인(표현) 상태 전달 API>
웹 상의 자료를 HTTP위에서 SOAP이나 쿠키를 통한 세션 트랙킹 같은 별도의 전송 계층 없이 전송하기 위한 아주 간단한 인터페이스를 말한다.
■ RESTful
REST API의 설계 의도를 정확하게 지켜주는 API를 'RESTful 하다'라고 부른다. RESTful한 API는 구성요소들의 역할이 명확하게 분리되어 있어야 한다. URI는 자원을 정확하고 인식하기 편하게 표현하는데에 집중하고, 자우너에 대한 행위는 Uniform하게 HTTP 메소드를 통해 정의를 한다. 나머지 페이로드는 Json이나 XMl, YAML 같은 언어를 이용하여 별도로 정의한다.
■ SOAP(Simple Object Access Protocol)
HTTP, HTTPS, SMTP 등을 통해 XML 기반의 메시지를 컴퓨터 네트워크 상에서 교환하는 프로토콜이다. SOAP은 웹 서비스에서 기본적인 메시지를 전달하는 기반이 된다. SOAP에는 몇가지 형태의 메시지 패턴이 있지만, 보통의 경우 원격 프로시져 호출(Remote Procedure Call:RPC) 패턴으로, 네트워크 노드(클라이언트)에서 다른 쪽 노드(서버)쪽으로 메시지를 요청 하고, 서버는 메시지를 즉시 응답하게 된다. SOAP는 XML-RPC와 WDDX에서 envelope/header/body로 이루어진 구조와 전송(transport)와 상호 중립성(interaction neutrality)의 개념을 가져왔다.
■ Attack Surface
공격 가능 영역. Attack Surface는 공격자가 시스템에 침입 할 수 있는 모든 지점과 데이터를 가져올 수 있는 모든 지점을 의미.