TEMA 4 EXERCÍCIOS - Emprego DevSecOps no ciclo de vida do software

Prévia do material em texto

<p>Você acertou 0 de 10</p><p>questões</p><p>Verifique o seu desempenho e continue</p><p>treinando! Você pode refazer o exercício</p><p>quantas vezes quiser.</p><p>Verificar Desempenho</p><p>A</p><p>B</p><p>C</p><p>1 Marcar para revisão</p><p>Scripts e estruturas de testes são práticas</p><p>fundamentais para DevSecOps pois são os</p><p>instrumentos utilizados pelas ferramentas de</p><p>Integração Contínua e Entrega Contínua para</p><p>garantir que os parâmetros de segurança estão</p><p>sendo avaliados como parte das tarefas que</p><p>garantem a qualidade e segurança do artefato</p><p>de software em desenvolvimento. Qual é a</p><p>finalidade dos scripts no contexto do</p><p>DevSecOps?</p><p>Automatizar tarefas repetitivas e</p><p>complexas.</p><p>Garantir a conformidade do software</p><p>com leis e regulamentos.</p><p>Executar testes de desempenho do</p><p>software.</p><p>Questão 1 de 10</p><p>Em branco �10�</p><p>1 2 3 4 5</p><p>6 7 8 9 10</p><p>Feedback</p><p>Exercicio</p><p>Emprego Devsecops No</p><p>Ciclo De Vida Do Software</p><p>Sair</p><p>D</p><p>E</p><p>Integrar ferramentas de segurança ao</p><p>pipeline de entrega contínua.</p><p>Automatizar as tarefas do ciclo de</p><p>vida.</p><p>Questão não respondida</p><p>Opa! A alternativa correta é a letra</p><p>D. Confira o gabarito comentado!</p><p>Gabarito Comentado</p><p>Scripts são importantes no contexto de</p><p>DevSecOps porque eles permitem integrar</p><p>ferramentas de segurança ao pipeline de</p><p>entrega contínua, melhorando a eficiência</p><p>do processo de desenvolvimento e</p><p>segurança do produto de software.</p><p>2 Marcar para revisão</p><p>Em uma conferência recente sobre Segurança</p><p>da Informação, uma discussão se desencadeou</p><p>sobre o conceito de conformidade no campo.</p><p>Isso gerou uma série de definições potenciais.</p><p>Qual é a definição de conformidade no contexto</p><p>de Segurança da Informação?</p><p>A</p><p>B</p><p>C</p><p>D</p><p>E</p><p>Cumprimento das leis, regulamentos e</p><p>padrões estabelecidos para garantir a</p><p>segurança dos dados e informações.</p><p>Gerenciamento e controle da</p><p>segurança da informação em uma</p><p>organização.</p><p>Implementação de práticas</p><p>recomendadas de segurança da</p><p>informação.</p><p>Estabelecimento de processos claros</p><p>e comunicação efetiva dentro da</p><p>organização.</p><p>Estabelecimento de processo de</p><p>desenvolvimento de software.</p><p>Questão não respondida</p><p>Opa! A alternativa correta é a letra</p><p>A. Confira o gabarito comentado!</p><p>Gabarito Comentado</p><p>A conformidade envolve a realização de</p><p>auditorias, monitoramento de riscos e</p><p>implementação de controles internos. Por</p><p>outro lado, a segurança da informação é</p><p>uma abordagem mais abrangente para</p><p>proteger as informações e sistemas de uma</p><p>organização contra ameaças e</p><p>vulnerabilidades. No contexto de</p><p>Segurança da Informação, a conformidade</p><p>inclui cumprimento das leis, regulamentos</p><p>A</p><p>B</p><p>C</p><p>e padrões estabelecidos para garantir a</p><p>segurança dos dados e informações.</p><p>3 Marcar para revisão</p><p>Os Scripts de Teste podem assumir a forma de</p><p>instruções de texto documentadas e</p><p>executadas manualmente ou de instruções que</p><p>podem ser lidas pelo computador para ativar a</p><p>execução automática do teste. Nesse contexto,</p><p>avalie as afirmativas relativas à importância dos</p><p>scripts de teste no desenvolvimento de</p><p>software?</p><p>I.          Permitem a automação de tarefas de</p><p>segurança, como análise estática de código.</p><p>II.          Garantem que as vulnerabilidades de</p><p>segurança sejam identificadas e corrigidas com</p><p>mais eficiência.</p><p>III.          Permitem a execução repetitiva e</p><p>consistente de testes, melhorando a eficácia do</p><p>processo de desenvolvimento e segurança.</p><p>Está correto o que se afirma em:</p><p>I, II e III.</p><p>I e II.</p><p>I e III.</p><p>D</p><p>E</p><p>II e III.</p><p>Somente em III.</p><p>Questão não respondida</p><p>Opa! A alternativa correta é a letra</p><p>A. Confira o gabarito comentado!</p><p>Gabarito Comentado</p><p>Os scripts de teste no desenvolvimento de</p><p>software permitem a automação de tarefas</p><p>de segurança, garantem que as</p><p>vulnerabilidades de segurança sejam</p><p>identificadas e corrigidas com mais</p><p>eficiência, além de permitir a execução</p><p>repetitiva e consistente de testes,</p><p>melhorando a eficácia do processo de</p><p>desenvolvimento e segurança.</p><p>4 Marcar para revisão</p><p>Durante todo o desenvolvimento do conteúdo</p><p>citamos diversos regulamentos e padrões que</p><p>ajudam empresas a se prepararem para lidar</p><p>com os riscos e ameaças de segurança.</p><p>Regulamentos e Padrões de Segurança são</p><p>documentos estabelecidos por governos e</p><p>organizações com o objetivo de definir</p><p>requisitos e diretrizes de segurança que as</p><p>empresas devem seguir, fornecendo um</p><p>conjunto de regras, normas técnicas e práticas</p><p>recomendadas para garantir que as empresas</p><p>implementem medidas de segurança</p><p>adequadas para proteger suas operações,</p><p>sistemas e dados.  Qual é a norma que define</p><p>A</p><p>B</p><p>C</p><p>D</p><p>E</p><p>os requisitos para um Sistema de Gestão de</p><p>Segurança da Informação �SGSI�?</p><p>ISO 27001.</p><p>NIST SP 800�53.</p><p>GDPR.</p><p>LGPD.</p><p>SANS Institute.</p><p>Questão não respondida</p><p>Opa! A alternativa correta é a letra</p><p>A. Confira o gabarito comentado!</p><p>Gabarito Comentado</p><p>A norma ISO 27001 é o padrão e a</p><p>referência Internacional para a gestão da</p><p>Segurança da informação.</p><p>5 Marcar para revisão</p><p>Modelagem de ameaças é uma técnica utilizada</p><p>em DevSecOps para identificação e avaliação</p><p>de possíveis ameaças à segurança em um</p><p>sistema ou aplicação. Qual é o objetivo da</p><p>modelagem de ameaças em DevSecOps?</p><p>A</p><p>B</p><p>C</p><p>D</p><p>E</p><p>Identificar e mitigar vulnerabilidades.</p><p>Realizar testes de penetração e</p><p>análise de código.</p><p>Priorizar ameaças com base em</p><p>critérios qualitativos.</p><p>Implementar medidas de segurança</p><p>em nuvem.</p><p>Restaurar o pleno funcionamento dos</p><p>sistemas afetados.</p><p>Questão não respondida</p><p>Opa! A alternativa correta é a letra</p><p>A. Confira o gabarito comentado!</p><p>Gabarito Comentado</p><p>A modelagem de ameaças consiste em</p><p>identificar quais são as possíveis ameaças</p><p>para a organização e para cada carga de</p><p>trabalho, analisando as ameaças à</p><p>confidencialidade, integridade ou</p><p>disponibilidade dos sistemas e</p><p>quantificando o impacto potencial de cada</p><p>ameaça se ela se concretizarem.</p><p>6 Marcar para revisão</p><p>Tanto DevOps quanto DevSecOps tem como um</p><p>de seus pilares a aplicação dos conceitos de</p><p>A</p><p>B</p><p>C</p><p>D</p><p>E</p><p>Automação e Orquestração das atividades</p><p>necessárias no desenvolvimento das soluções</p><p>de software.  Qual é o objetivo da orquestração</p><p>no DevSecOps?</p><p>Coordenar diferentes ferramentas e</p><p>processos de automação.</p><p>Aumentar a dependência de recursos</p><p>humanos no processo de entrega de</p><p>software.</p><p>Acelerar o desenvolvimento de</p><p>funcionalidades e recursos.</p><p>Eliminar a necessidade de análise de</p><p>segurança no ciclo de</p><p>desenvolvimento.</p><p>Permite que tarefas repetitivas sejam</p><p>efetuadas de maneira automatizada.</p><p>Questão não respondida</p><p>Opa! A alternativa correta é a letra</p><p>A. Confira o gabarito comentado!</p><p>Gabarito Comentado</p><p>Orquestração é a configuração, o</p><p>gerenciamento e a coordenação</p><p>automatizada de serviços, aplicações e</p><p>sistemas de computador, permitindo no</p><p>DevSecOps a gerenciar fluxos de trabalho</p><p>e tarefas complexas com mais facilidade e</p><p>na sequência correta.</p><p>A</p><p>B</p><p>C</p><p>D</p><p>E</p><p>7 Marcar para revisão</p><p>Existem várias estruturas de teste disponíveis</p><p>para diferentes linguagens de programação e</p><p>tecnologias. Algumas das estruturas de teste</p><p>mais populares incluem JUnit para Java, NUnit</p><p>para .NET, PyTest para Python e Jasmine para</p><p>JavaScript. O uso de estruturas de teste ajuda a</p><p>garantir que o software seja testado de maneira</p><p>consistente e confiável, o que pode aumentar a</p><p>eficiência do processo de desenvolvimento e</p><p>melhorar a qualidade do software final. Quais</p><p>são algumas das estruturas de teste</p><p>importantes para a implementação de</p><p>DevSecOps?</p><p>Testes de unidade, testes de</p><p>integração, testes de aceitação e</p><p>testes de segurança.</p><p>Testes de performance, testes de</p><p>conformidade e testes de sistema.</p><p>Testes de carga, testes de regressão e</p><p>testes de usabilidade.</p><p>Testes de estresse, testes de</p><p>usabilidade e testes de acessibilidade.</p><p>Testes de carga, testes de usabilidade</p><p>e testes de segurança.</p><p>Questão não respondida</p><p>Opa! A alternativa correta é a letra</p><p>A. Confira o gabarito comentado!</p><p>A</p><p>B</p><p>Gabarito Comentado</p><p>Os testes de unidade são feitos em um</p><p>nível muito baixo, próximo ao código-fonte</p><p>do aplicativo, os testes de integração</p><p>verificam se diferentes módulos ou</p><p>serviços</p><p>usados pelo seu aplicativo</p><p>funcionam bem juntos, os testes de</p><p>aceitação são testes formais executados</p><p>para verificar se um sistema atende aos</p><p>requisitos de negócios e os testes de</p><p>segurança verificam a existência de</p><p>vulnerabilidades no software, como falhas</p><p>de autenticação, injeção de código, cross-</p><p>site scripting, entre outras.</p><p>8 Marcar para revisão</p><p>Podemos observar que no processo de</p><p>desenvolvimento de software não podemos</p><p>apenas observar o conjunto de técnicas e</p><p>ferramentas, mas também a cultura a ser</p><p>empregada pelo time diante esse</p><p>desenvolvimento. Sendo assim Como o</p><p>DevSecOps promove a cultura de segurança no</p><p>desenvolvimento de software?</p><p>Permitindo a exclusão da</p><p>responsabilidade pela segurança da</p><p>equipe de desenvolvimento.</p><p>Permitindo a implementação de</p><p>políticas e práticas de segurança</p><p>inconsistentes.</p><p>C</p><p>D</p><p>E</p><p>Permitindo o envolvimento de equipes</p><p>de segurança apenas no final do</p><p>processo.</p><p>Permitindo que todos os membros da</p><p>equipe sejam responsáveis pela</p><p>segurança do software, não apenas os</p><p>especialistas em segurança.</p><p>Permitindo a automação completa da</p><p>segurança sem envolvimento humano.</p><p>Questão não respondida</p><p>Opa! A alternativa correta é a letra</p><p>D. Confira o gabarito comentado!</p><p>Gabarito Comentado</p><p>DevSecOps significa desenvolvimento,</p><p>segurança e operações, sendo uma</p><p>abordagem à cultura, automação e design</p><p>da plataforma que integra segurança ao</p><p>DevOps como uma responsabilidade</p><p>compartilhada por todos os membros da</p><p>equipe em todo o ciclo de vida.</p><p>9 Marcar para revisão</p><p>Considerando que Continuous Integration e</p><p>Continuous Delivery são práticas de Engenharia</p><p>de Softwrare, como o DevSecOps complementa</p><p>a prática de CI/CD �Continuous</p><p>Integration/Continuous Delivery)?</p><p>A</p><p>B</p><p>C</p><p>D</p><p>E</p><p>Adicionando controles de segurança</p><p>automatizados em todas as etapas do</p><p>processo de entrega de software.</p><p>Automatizando o processo de</p><p>compilação, teste e implantação de</p><p>código-fonte.</p><p>Incentivando a colaboração entre</p><p>equipes de segurança,</p><p>desenvolvimento e operações.</p><p>Focando na detecção de erros no ciclo</p><p>de vida do desenvolvimento de</p><p>software.</p><p>Automatizando as etapas do processo</p><p>de entrega de software.</p><p>Questão não respondida</p><p>Opa! A alternativa correta é a letra</p><p>A. Confira o gabarito comentado!</p><p>Gabarito Comentado</p><p>DevSecOps enfatiza a importância de</p><p>incorporar a segurança ao ciclo de vida de</p><p>desenvolvimento de software. Integrar a</p><p>segurança na cultura, no processo e nas</p><p>ferramentas da sua equipe que a entrega</p><p>rápida não ocorra às custas, ou fique à</p><p>mercê, das vulnerabilidades de segurança.</p><p>10 Marcar para revisão</p><p>A</p><p>B</p><p>C</p><p>D</p><p>E</p><p>Continuous Integration �Integração Contínua) e</p><p>Continuous Delivery �Entrega Contínua) são</p><p>práticas de engenharia de software oriundos</p><p>dos conceitos de Automação e Orquestração</p><p>que são pilares fundamentais para as</p><p>abordagens DevOps e DevSecOps. São práticas</p><p>e técnicas tão importantes que é quase possível</p><p>se afirmar que sem elas DevOps e DevSecOps</p><p>não seriam possíveis, tamanho o benefício que</p><p>as práticas trazem como suporte a DevOps e</p><p>DevSecOps. Qual é o objetivo da prática de</p><p>Continuous Integration �Integração Contínua)?</p><p>Automatizar o processo de</p><p>compilação, teste e implantação de</p><p>código-fonte.</p><p>Entregar alterações de código de</p><p>forma frequente, segura e confiável.</p><p>Incorporar práticas de segurança em</p><p>todas as etapas do ciclo de vida do</p><p>desenvolvimento de software.</p><p>Detectar erros no ciclo de vida do</p><p>desenvolvimento de software.</p><p>Automatizar o processo de entrega</p><p>dos artefatos de software, incluindo</p><p>testes e implantação automatizada.</p><p>Questão não respondida</p><p>Opa! A alternativa correta é a letra</p><p>A. Confira o gabarito comentado!</p><p>Gabarito Comentado</p><p>A integração contínua é uma prática de</p><p>desenvolvimento de software de DevOps</p><p>em que os desenvolvedores, com</p><p>frequência, juntam suas alterações de</p><p>código em um repositório central, depois</p><p>disso, testes são executados.</p>