AV - DESENVOLVIMENTO DE SOFTWARE SEGURO

Prévia do material em texto

<p>AV- Desenvolvimento de Software Seguro</p><p>1. Garantir que um software seja seguro está longe de ser uma atividade trivial. Por isso mesmo, os desenvolvedores precisam utilizar diversas técnicas para reduzir as vulnerabilidades de um sistema, e assim, minimizar a exposição ao risco de ataques. Infelizmente, esse excesso de controles, também pode gerar vulnerabilidades. Nesse sentido, selecione a opção correta que contém a vulnerabilidade associada ao excesso de tentativas de evitar vulnerabilidades.</p><p>ECOMONIA DE MECANISMO</p><p>2. Há situações em que devemos usar recursos de defesa ainda no projeto do software. Dessa forma, podemos investigar com melhor precisão em que parte do sistema existe uma vulnerabilidade ou esteja ocorrendo um ataque. Nesse sentido, selecione a opção correta com princípio que trata da situação descrita no enunciado da questão.</p><p>DEFESA EM PROFUNDIDADE</p><p>3. Um dos princípios de segurança que deve estar implementado em um software é o da integridade. A ideia é bem simples: garantir que os dados não sofram modificações indevidas. Agora selecione a opção correta que contenha um controle que podemos implementar para auxiliar na manutenção da integridade dos dados.</p><p>ASSINATURA DIGITAL</p><p>4. Uma situação bastante comum no desenvolvimento de software é fazer chamada a outros programas. Especialmente, quando os programas são de terceiros, há risco de vulnerabilidade para segurança do nosso software. Nesse sentido, selecione uma opção que apresente um exemplo de risco ao chamarmos um programa de terceiros de dentro do software.</p><p>UM INVASOR INTERCEPTAR OS DADOS NA CHAMADA DO PROGRAMA</p><p>5. O controle de permissões, normalmente, é referenciado como uma boa pratica que auxilia nas reduções de vulnerabilidades. Na pratica, porém, ele pode oferecer alguns desafios. Nesse sentido, selecione a opção correta que contém uma possível vulnerabilidade associada ao controle de permissões.</p><p>FAZER CONFIGURAÇÕES INADEQUADAS</p><p>6. Existem algumas formas de utilizarmos ferramentas para automatizarmos os testes de segurança de um sistema. Um desses testes realiza a busca por vulnerabilidades dentro do próprio código do sistema. Nesse sentindo, selecione a opção correta com o nome desse tipo de teste.</p><p>ANÁLISE ESTÁTICA</p><p>7. A gestão de risco de segurança de software é uma pratica importante que ajuda a proteger os sistemas e os dados da empresa contra ameaças cibernéticas. Assinale a alternativa que apresenta a ordem correta das atividades envolvidas com a gestão de riscos de segurança de software.</p><p>IDENTIFICAÇÃO, AVALIAÇÃO, TRATAMENTO E PREVENÇÃO</p><p>8. Muitas são as organizações que sugerem estruturas metodológicas para construção de software seguro. A OWASP, uma dessas organizações promove um framework voltado para este fim. Sobre esse framework, leia as afirmativas a seguir e assinale a alternativa mais adequada a indicar cada uma das fases apresentadas pelas afirmativas.</p><p>I. O objetivo desta fase é identificar e documentar as falhas de segurança que possam se configurar em ameaças (MODELAGEM DE AMEAÇAS).</p><p>II. Nesta fase o aplicativo é desenvolvido tomando por base o emprego de práticas de codificação seguras (IMPLEMENTAÇÃO).</p><p>III. Nesta fase o aplicativo é acompanhado passando por monitoramento constante a fim de que sejam detectadas ameaças de segurança (PÓS-LANÇAMENTO).</p><p>Marque a alternativa correta.</p><p>I. MODELAGEM DE AMEAÇAS; II. IMPLEMENTAÇÃO; III. PÓS-LANÇAMENTO</p><p>9. Em uma recente reunião de equipe de TI, o CTO mencionou a adoção da prática de DevSecOps para melhorar o processo de desenvolvimento de software. Isso levantou questões sobre as possíveis vantagens desta abordagem.</p><p>Qual o benefício, entre as opções a seguir, do DevSecOps no desenvolvimento de software?</p><p>MELHORIA DA QUALIDADE DO SOFTWARE</p><p>10. Tanto DevOps quanto DevSecOps tem como um de seus pilares a aplicação dos conceitos de Automação e Orquestração das atividades necessárias no desenvolvimento das soluções de software. Por que a automação é fundamental para o DevSecOps?</p><p>PARA EXECUTAR TAREFAS REPETITIVAS DE MANEIRA AUTOMATIZADA</p><p>11. É um fato que os riscos de ataques a sistemas sempre existem e sempre vão existir. Isso exige ainda mais esforço da nossa parte para reduzir as chances de que eles se tornem em problemas reais. Neste sentido, selecione a opção correta que apresenta uma forma genética de reduzirmos as chances de um risco se tornar um problema.</p><p>ATRAVÉS DO ESTABELECIMENTO DE UMA POLÍTICA DE AVALIAÇÃO E GERENCIAMENTO DE RISCOS</p><p>12. O SDL da Microsoft estabelece testes de três naturezas para encontrar falhas nos seus sistemas. Assinale a alternativa que apresenta os três tipos de teste propostos.</p><p>TESTE DE PENETRAÇÃO; TESTE ESTÁTICO; E TESTE DINÂMICO</p><p>13. Existem diversos tipos de ataques a sistemas. Em um desses ataques, o invasor entra com um código malicioso que pode comprometer a segurança do software. Neste sentido, selecione a opção correta com o nome desse tipo de ataque:</p><p>INJEÇÃO DE CÓDIGO</p><p>14. Leia a afirmativa a seguir e assinale a alternativa que melhor completa as lacunas.</p><p>No contexto da segurança das aplicações de software podemos se dizer que o SHELLCODE é a técnica usada para explorar a vulnerabilidade, EXPLOIT é a sequência de instruções de código que são executadas para realizar a ação maliciosa desejada, que é carregada pelo EXPLOIT.</p><p>I. EXPLOIT, II. SHELLCODE; III. EXPLOIT</p><p>15. Continuous Integration (integração contínua) e Continuous Delivery (entrega contínua) são práticas de engenharia de software oriundos dos conceitos de Automação e Orquestração que são pilares fundamentais para as abordagens DevOps e DevSecOps. São práticas e técnicas tão importantes que é quase possível se afirmar que sem elas DevOps e DevSecOps não seriam possíveis, tamanho o benefício que as práticas trazem como suporte a DevOps e DevSecOps. Qual é a diferença entre Continuous Integration e Continuous Delivery?</p><p>A INTEGRAÇÃO CONTÍNUA (CONTINUOUS INTEGRATION) É UM COMPONENTE FUNDAMENTAL DA ENTREGA CONTÍNUA (CONTINUOUS DELIVERY), MAS SE CONCENTRA NA ENTREGA FREQUENTE DE ALTERAÇÕES DE CÓDIGO.</p><p>16. As estruturas de teste são uma parte fundamental do processo de desenvolvimento de software, especialmente em um ambiente DevSecOps, onde a automação e a orquestração de testes são essenciais para garantir a segurança e qualidade do software. O que são estruturas de teste no contexto de desenvolvimento de software?</p><p>CONJUNTOS DE FERRAMENTAS, BIBLIOTECAS E CONVENÇÕES PARA CRIAR E EXECUTAR TESTES AUTOMATIZADOS.</p><p>17. O termo segurança nos remete a uma situação de proteção. Ele também é utilizado no contexto de software. Nesse sentido, selecione a opção correta sobre o que é um software seguro:</p><p>É UM PROGRAMA QUE APLICA DIVERSAS PRÁTICAS DE SEGURANÇA PARA REDUZIR A EXPOSIÇÃO A VULNERABILIDADES.</p><p>18. Os sistemas atuais envolvem diversas configurações. Isso torna o processo de desenvolvimento mais complexo, e assim, aumenta as chances de que existam vulnerabilidades no código. Neste sentido, selecione a opção correta de reduzir as vulnerabilidades causadas por configurações inadequadas.</p><p>TREINAR RESPONSÁVEIS PARA FAZER AS CONFIGURAÇÕES DOS COMPONENTES.</p><p>19. Existem muitos protocolos seguros. Um desses protocolos é o HTTPS. Neste sentido, selecione a opção correta que trata do objetivo do protocolo HTTPS.</p><p>PROTEGER OS DADOS QUE SÃO TRANSMITIDOS NA REDE.</p><p>20. Umas das formas de aumentar a segurança do processamento dos dados é através da autenticação dos usuários. Neste sentido, selecione a opção correta que contenha um exemplo de autenticação segura.</p><p>AUTENTICAÇÃO MULTIFATOR.</p><p>21. Considerando a implementação de software seguro e seu ciclo de vida de desenvolvimento (SDL), assinale a alternativa correta relacionada as afirmações a seguir.</p><p>I. O teste FUNCIONAL se presta a garantir que o software execute as funções planejadas.</p><p>II. O teste DE SEGURANÇA tem como objetivo buscar vulnerabilidades e pontos fracos de segurança.</p><p>III. O teste DE DESEMPENHO envolve verificar a garantia de funcionamento adequado sob cenários de estresse de acesso, assegurando sua disponibilidade.</p><p>IV. O teste DE USABILIDADE se destina</p><p>a assegurar que o software seja fácil de usar e atenda às necessidades do usuário.</p><p>I. FUNCIONAL; II. DE SEGURANÇA; III. DE DESEMPENHO; IV. DE USABILIDADE.</p><p>22. Enquanto DevOps tem como objetivo principal acelerar o processo de desenvolvimento de software através de práticas de engenharia de software, automação de processos de desenvolvimento, automação de builds e integração frequente e contínua de pequenos artefatos de software entre outros conceitos, DevSecOps busca alinhar as práticas de desenvolvimento ágil com a segurança da informação, garantindo que a segurança seja parte integrante do processo de desenvolvimento. Desta forma, como o DevSecOps aborda a disciplina de segurança no desenvolvimento de software?</p><p>A SEGURANÇA É CONSIDERADA EM TODAS AS FASES DO CICLO DE VIDA DE DESENVOLVIMENTO.</p><p>23. Muito raramente, uma empresa desenvolve todos os componentes de um software. O normal é que utilizem componentes de outras empresas. Em termos de produtividade, faz bastante sentido, mas há risco de inserir vulnerabilidades no sistema da empresa. Neste sentido, selecione a opção correta com uma forma de reduzir os riscos de inserir vulnerabilidades:</p><p>UTILIZAR COMPONENTES DE EMRPESAS COM BOA REPUTAÇÃO E COM DOCUMENTAÇÃO.</p><p>24. Um dos controles de segurança é o monitoramento do uso das funcionalidades e do acesso aos dados. Neste sentido, selecione a opção que apresenta um aspecto fundamental para que possamos realizar o monitoramento de segurança de um sistema.</p><p>DEFINIR OS PROCEDIMENTOS NECESSÁRIOS PARA UM MONITORAMENTO EFICIENTE.</p><p>25. O NIST é um Instituto de padronização americano, que publica muitas práticas e padrões para diversas áreas de conhecimento. Sobre seus esforços na área de segurança, leia as afirmativas a seguir e assinale a alternativa correta.</p><p>I. O Cybersegurity Framework (CSF) propõe um padrão para programação de software seguro (FALSO).</p><p>II. A publicação NIST SP 800-39 serve como referência para as organizações desenvolverem seus próprios programas de gestão de risco de segurança da informação (VERDADEIRO).</p><p>III. A NIST SP 800-160 se concentra na questão da resiliência cibernética de forma a promover o desenvolvimento de sistemas seguros confiáveis, com capacidade de reavivamento em caso de falhas (VERDADEIRO).</p><p>IV. A NIST SP 800-53 fornece um catálogo de controles de segurança e privacidade para sistemas de informação, sendo uma publicação com caráter bastante prático (VERDADEIRO).</p><p>I – FALSO; II – VERDADEIRO; III – VERDADEIRO; IV – VERDADEIRO</p><p>26. Comparando o tempo de desenvolvimento de projetos de software que seguem um modelo de desenvolvimento tradicional comparando-os com projetos que empregam o modelo de desenvolvimento considerando DevSecOps, é possível observar que estes últimos tem um tempo de entrega mais rápido. Por que a prática de DevSecOps pode acelerar a entrega de software?</p><p>POR ANTECIPAR E RESOLVER PROBLEMAS DE SEGURANÇA RAPIDAMENTE.</p>