Modelagem, Implantação e Verificação De Software Seguro

Prévia do material em texto

Você acertou 0 de 10
questões
Verifique o seu desempenho e continue
treinando! Você pode refazer o exercício
quantas vezes quiser.
Verificar Desempenho
A
B
C
1 Desmarcar para revisão
Na modelagem de ameaças a etapa de
identificação de ameaças usa o diagrama de
fluxos de dados como insumo para o
brainstorm de levantamento de ameaças.
Assinale a alternativa que representa os
elementos a serem levantados durante esse
brainstorm.
Agentes, vetores e nome das ameaças
Agentes, vetores e ações de ameaças
Invasores, vetores e ações de
ameaças
Questão 1 de 10
Incorretas �10�
Em branco �0�
1 2 3 4 5
6 7 8 9 10
Lista de exercícios Modelagem,… Sair
Feedback
07/01/2025, 13:57 estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/ 1/14
D
E
Agentes, Invasores e nome das
ameaças
Invasores, vetores e nome das
ameaças
Resposta incorreta
Opa! A alternativa correta é a letra
B. Confira o gabarito comentado!
Gabarito Comentado
Na fase de identificação das ameaças, o
fluxo de dados serve para subsidiar o
brainstorm de levantamento de agente de
ameaças, vetores de ameaças e ações de
ameaças.
 
2 Desmarcar para revisão
A SAFECode é uma organização dedicada a
promover boas práticas para desenvolvimento
de software seguros e confiáveis. Na quarta
etapa do seu SDL a SAFECode propõe práticas
de codificação segura, partindo da premissa de
que o programador acaba inserindo
vulnerabilidades não intencionais no código.
Sobre essa etapa, leia as afirmativas e assinale
a alternativa mais adequada.
 
Os erros de programação que criam ameaças
podem ser evitados e detectados:
 
I � Usando padrões de codificação;
II � Escolhendo bibliotecas consolidadas no
mercado no quesito segurança;
07/01/2025, 13:57 estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/ 2/14
A
B
C
D
E
III � Usando ambiente de programação de
linha de comando; e
IV � Revisando manualmente o código.
I � Verdadeiro; II � Falso; III –
Verdadeiro; IV � Falso
I � Falso; II � Verdadeiro; III � Falso; IV –
Verdadeiro
I � Verdadeiro; II � Verdadeiro; III –
Falso; IV � Verdadeiro
I � Verdadeiro; II � Falso; III � Falso; IV –
Falso
I � Verdadeiro; II � Verdadeiro; III –
Verdadeiro; IV � Falso
Resposta incorreta
Opa! A alternativa correta é a letra
C. Confira o gabarito comentado!
Gabarito Comentado
Usar ambiente de programação de linha de
comando não traz qualquer influência para
minimizar os erros de codificação do
programador que possam produzir
vulnerabilidades no software.
3 Desmarcar para revisão
Assinale a alternativa que melhor descreve a
fase do modelo de ameaças na qual devem ser
07/01/2025, 13:57 estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/ 3/14
A
B
C
D
E
executadas as seguintes atividades: identificar
metas do sistema, identificar ativos e identificar
ameaças.
Validar modelo de ameaças
Mitigar ameaças
Identificar ameaças
Diagramar fluxos de dados
Definir objetivos
Resposta incorreta
Opa! A alternativa correta é a letra
E. Confira o gabarito comentado!
Gabarito Comentado
A fase de definição de objetivo - primeira
em um modelo de ameaças -  é a etapa
onde são realizados os levantamentos
primordiais, onde se identificam metas dos
sistemas, ativos e ameaças a eles.
4 Desmarcar para revisão
Sobre a implementação do software, assinale a
alternativa que melhor completa as lacunas, em
referência ao ciclo de vida de desenvolvimento
de software seguro.
 
07/01/2025, 13:57 estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/ 4/14
A
B
C
D
E
I � Durante a fase de __________________, os
desenvolvedores escrevem o código, criam a
documentação e executam tarefas de garantia
de qualidade.
 
II � A utilização de ___________________, acelera a
implementação de código e se configura em
boa prática de segurança.
 
III � As técnicas de codificação segura podem
ajudar a tornar o software mais robusto e
reduzir sua ___________________, parte exposta a
ameaças de hacker.
I – desenvolvimento; II – linguagem de
programação fortemente tipada; III –
superfície de ataque
I – desenvolvimento; II - bibliotecas
seguras; III – interface gráfica de
usuário.
I – implantação; II - linguagem de
programação fortemente tipada; III –
interface gráfica de usuário
I – desenvolvimento; II – bibliotecas
seguras; III – superfície de ataque
I – implantação; II – linguagem de
programação fortemente tipada; III –
superfície de ataque
Resposta incorreta
Opa! A alternativa correta é a letra
D. Confira o gabarito comentado!
07/01/2025, 13:57 estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/ 5/14
A
B
C
Gabarito Comentado
A fase de desenvolvimento corresponde à
codificação do sistema. Usar bibliotecas
seguras acelera o desenvolvimento e reduz
a chance de inserção de vulnerabilidade no
software. Superfície de ataque de um
software é o termo empregado para
representar a parte exposta a ameaças
hackers.
5 Desmarcar para revisão
A validação do modelo de ameaças é a última
etapa do processo de modelagem de ameaças
de software. Assinale a alternativa sobre a
etapa de validação do modelo de ameaças.
I � É importante garantir que o modelo de
ameaças seja consistente com as regras
de segurança sem se preocupar com a
prática delas.
             II � Uma vez encerrada, não há qualquer
necessidade de revisar mais o modelo.
III � Envolve verificar a precisão,
completude e eficácia na identificação e
mitigação de ameaças de segurança.
 
Marque a alternativa correta.
 
Apenas I está correta
Apenas II está correta
Apenas III está correta
07/01/2025, 13:57 estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/ 6/14
D
E
Apenas a I e III estão corretas
Apenas a II e III estão corretas
Resposta incorreta
Opa! A alternativa correta é a letra
C. Confira o gabarito comentado!
Gabarito Comentado
O modelo de ameaças deve ser aderente
às regras de segurança tanto no aspecto
teórico quanto prático. O modelo deve ser
constantemente revisado devido ao cenário
extremamente rápido de mudança das
ameaças.
6 Desmarcar para revisão
A última etapa do SDL demanda ações
relacionadas à implantação e manutenção do
software. Sobre esse tema, leia as afirmativas a
seguir e assinale a alternativa que melhor
completa as lacunas.
 
I. Os __________________ são atualizações
regulares do software para solucionar falhas
descobertas após o lançamento.
 
II. Os _______________ servem para otimizar a
performance do software, assegurando seu
bom funcionamento sob condições extremas.
 
III. Os _____________ são medidas de
recuperação de desastres capazes de retomar
07/01/2025, 13:57 estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/ 7/14
A
B
C
D
E
a operação com as informações sincronizadas
a um momento anterior ao problema.
I – ajustes de desempenho; II –
patches de segurança; III - backups
de dados
I – patches de segurança; II – ajustes
de desempenho; III - backups de
dados
I – backups de dados; II – ajustes de
desempenho; III - patches de
segurança
I – patches de segurança; II – ajustes
de desempenho; III – testes funcionais
I – patches de segurança; II – backups
de dados; III - ajustes de desempenho
Resposta incorreta
Opa! A alternativa correta é a letra
B. Confira o gabarito comentado!
Gabarito Comentado
Patches de segurança são atualizações
muito comuns propostaspelos fabricantes
de software para corrigir vulnerabilidades
encontradas após a implantação do
sistema. Os ajustes de desempenho de
software realizados após a implantação do
sistema são atividades realizadas com o
objetivo de melhorar o desempenho de um
software que já está em produção. Os
backups de dados são cópias de
segurança que possibilitam que o sistema
07/01/2025, 13:57 estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/ 8/14
A
B
C
D
E
retorne a uma condição prévia em termos
de condição dos dados.
7 Desmarcar para revisão
A criatividade pode ser encarada como um
produto de cognição humana. Dentro desse
contexto, analise as sentenças a seguir:
 
             I � Toda vulnerabilidade de sistema é
um bug de software e vice-versa.
II � Software confiável e software seguro
são dois conceitos distintos.
III � Seguindo boas práticas de
desenvolvimento de software seguro é
possível garantir o lançamento de um
sistema 100% livre de falhas. 
 
Marque a alternativa correta.
Apenas I está correta
Apenas II está correta
Apenas I e II estão corretas
Apenas I e III estão corretas
Apenas II e III estão corretas
07/01/2025, 13:57 estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/ 9/14
A
B
C
Resposta incorreta
Opa! A alternativa correta é a letra
B. Confira o gabarito comentado!
Gabarito Comentado
Nem todo bug de software gera uma
vulnerabilidade. Software confiável refere-
se à capacidade do software de funcionar
conforme esperado e de forma
consistente, sem erros ou falhas que
possam levar a resultados imprevisíveis ou
indesejáveis. Software seguro refere-se à
capacidade do software de proteger contra
ameaças externas, tais como hackers,
malwares ou outras formas de ataque. É
impossível garantir que um software seja
imune a falhas independente das práticas
de desenvolvimento utilizadas.
8 Desmarcar para revisão
Na gestão de riscos de software, uma vez que
os riscos sejam identificados, precisam ser
tratados. Quais as três abordagens principais
de tratamento de risco?
Mitigados, aceitos e delegados
Sanados, medidos e delegados
Medidos, avaliados e controlados
07/01/2025, 13:57 estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/ 10/14
D
E
Mitigados, controlados e delegados
Aceitos, mitigados e controlados
Resposta incorreta
Opa! A alternativa correta é a letra
A. Confira o gabarito comentado!
Gabarito Comentado
A gestão de risco de software é uma parte
crítica do desenvolvimento de software e
envolve a identificação, avaliação e
tratamento de riscos associados ao projeto.
Dentre as abordagens de tratamento
podemos citar:
·            Mitigação, que envolve a
implementação de medidas para reduzir a
probabilidade ou impacto de um risco
identificado.
·       Aceitação, que envolve reconhecer a
existência de um risco, mas não tomar
medidas para mitigá-lo.
·            Delegação, que envolve transferir a
responsabilidade por um risco para outra
pessoa ou organização.
9 Desmarcar para revisão
Considerando a implementação do sistema e o
ciclo de vida de desenvolvimento de software
seguro �SDL�, a primeira etapa, de elicitação de
requisitos, é considerada crítica porque define
a base para todo o processo de
desenvolvimento, se configurando no estágio
que garante que a segurança seja integrada ao
07/01/2025, 13:57 estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/ 11/14
A
B
C
D
E
software desde o início. Dentre os requisitos a
serem levantados, assinale a alternativa que
apresenta o melhor exemplo:
Autenticação e controle de acesso;
proteção de dados; registro de
auditoria; e linguagem de
programação a ser empregada
Autenticação e controle de acesso;
proteção de dados; de tamanho da
infraestrutura da solução; e
conformidade normativa e legal
Autenticação e controle de acesso; de
desempenho para acesso
concorrente; registro de auditoria; e
conformidade normativa e legal
Velocidade de resposta; proteção de
dados; registro de auditoria; e
conformidade normativa e legal
Autenticação e controle de acesso;
proteção de dados; registro de
auditoria; e conformidade normativa e
legal
Resposta incorreta
Opa! A alternativa correta é a letra
E. Confira o gabarito comentado!
Gabarito Comentado
O levantamento de requisitos de segurança
é uma parte fundamental do SDL, pois
ajuda a identificar as necessidades de
segurança que o software deve atender
07/01/2025, 13:57 estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/ 12/14
A
B
para minimizar os riscos de segurança.
Alguns requisitos de segurança que devem
ser levantados durante o SDL incluem:
 
·       Requisitos de autenticação e controle
de acesso, que definem como os usuários
serão autenticados e autorizados a acessar
o software e seus recursos.
·       Requisitos de proteção de dados, que
definem como os dados serão protegidos
durante a transmissão e armazenamento.
·            Requisitos de auditoria (e
monitoramento), que definem como as
atividades do usuário serão auditadas e
monitoradas para detectar atividades
suspeitas.
·            Requisitos normativos, que definem
garantias de que o software atenda a todas
as exigências de normas relevantes e evite
riscos legais.
10 Desmarcar para revisão
Considerando a análise de risco pela relação
probabilidade da ameaça versus impacto que
ela pode gerar, assinale a categorização do
risco que corresponde a uma baixíssima
probabilidade de ameaça e um altíssimo
impacto, considerando 5 níveis de classificação
de risco: muito baixo, baixo, médio, alto e muito
alto.
muito baixo
baixo
07/01/2025, 13:57 estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/ 13/14
C
D
E
médio
Alto
muito alto
Resposta incorreta
Opa! A alternativa correta é a letra
C. Confira o gabarito comentado!
Gabarito Comentado
A classificação comumente atribuída
quando as duas dimensões (probabilidade
da ameaça e impacto gerado por ela) são
diametralmente opostas é de risco “médio”.
 
07/01/2025, 13:57 estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/
https://estacio.saladeavaliacoes.com.br/exercicio/677d55fcfed6a7a57d87b1b0/gabarito/ 14/14