SM2 Desenvolvimento De Software Seguro

1 Marcar para revisão

00 : 46 : 28 Ocultar
hora min seg
A última etapa do SDL
demanda ações relacionadas à
implantação e manutenção do Questão 1 de 10
software. Sobre esse tema, leia
as afirmativas a seguir e
1 2 3 4 5
assinale a alternativa que
melhor completa as lacunas.
6 7 8 9 10
I. Os __________________ são
Respondidas (10) Em branco (0)
atualizações regulares do
software para solucionar falhas
descobertas após o Finalizar prova
lançamento.

II. Os _______________ servem

para otimizar a performance do
software, assegurando seu
bom funcionamento sob
condições extremas.

III. Os _____________ são

medidas de recuperação de
desastres capazes de retomar
a operação com as
informações sincronizadas a
um momento anterior ao
problema.

Feedback
 I – patches de
segurança; II –
A backups de dados; III
- ajustes de
desempenho

I – patches de
segurança; II – ajustes
B
de desempenho; III –
testes funcionais

I – backups de dados;
II – ajustes de
C
desempenho; III -
patches de segurança

I – patches de
segurança; II – ajustes
D
de desempenho; III -
backups de dados

I – ajustes de
desempenho; II –
E patches de
segurança; III -
backups de dados

2 Marcar para revisão

Na modelagem de ameaças a
etapa de identificação de
ameaças usa o diagrama de
fluxos de dados como insumo
para o brainstorm de
levantamento de ameaças.
Assinale a alternativa que
representa os elementos a
serem levantados durante esse
brainstorm.

Agentes, Invasores e
A
nome das ameaças

Agentes, vetores e
B
nome das ameaças

Agentes, vetores e
C
ações de ameaças

Invasores, vetores e
D
nome das ameaças

Invasores, vetores e
E
ações de ameaças

3 Marcar para revisão

Assinale a alternativa que

melhor descreve a fase do
modelo de ameaças na qual
devem ser executadas as
seguintes atividades: identificar
metas do sistema, identificar
ativos e identificar ameaças.

A Definir objetivos

B Identificar ameaças
 C Mitigar ameaças

Diagramar fluxos de
D
dados

Validar modelo de
E
ameaças

4 Marcar para revisão

Sobre a implementação do
software, assinale a alternativa
que melhor completa as
lacunas, em referência ao ciclo
de vida de desenvolvimento de
software seguro.

I - Durante a fase de
__________________, os
desenvolvedores escrevem o
código, criam a documentação
e executam tarefas de garantia
de qualidade.

II – A utilização de
___________________, acelera a
implementação de código e se
configura em boa prática de
segurança.

III – As técnicas de codificação

segura podem ajudar a tornar o
software mais robusto e reduzir
sua ___________________, parte
exposta a ameaças de hacker.
 I – desenvolvimento; II
– linguagem de
A programação
fortemente tipada; III –
superfície de ataque

I – implantação; II –
linguagem de
B programação
fortemente tipada; III –
superfície de ataque

I – desenvolvimento; II
- bibliotecas seguras;
C
III – interface gráfica
de usuário.

I – desenvolvimento; II
– bibliotecas seguras;
D
III – superfície de
ataque

I – implantação; II -
linguagem de
programação
E
fortemente tipada; III –
interface gráfica de
usuário

5 Marcar para revisão

A SAFECode é uma
organização dedicada a
promover boas práticas para
desenvolvimento de software
seguros e confiáveis. Na quarta
etapa do seu SDL a SAFECode
propõe práticas de codificação
segura, partindo da premissa
de que o programador acaba
inserindo vulnerabilidades não
intencionais no código. Sobre
essa etapa, leia as afirmativas
e assinale a alternativa mais
adequada.

Os erros de programação que

criam ameaças podem ser
evitados e detectados:

I - Usando padrões de
codificação;
II - Escolhendo bibliotecas
consolidadas no mercado
no quesito segurança;
III - Usando ambiente de
programação de linha de
comando; e
IV - Revisando
manualmente o código.

I – Verdadeiro; II –
A Falso; III – Verdadeiro;
IV – Falso

I – Falso; II –
B Verdadeiro; III – Falso;
IV – Verdadeiro

I – Verdadeiro; II –
C Verdadeiro; III – Falso;
IV – Verdadeiro
 I – Verdadeiro; II –
D Falso; III – Falso; IV –
Falso

I – Verdadeiro; II –
E Verdadeiro; III –
Verdadeiro; IV – Falso

6 Marcar para revisão

Durante todo o
desenvolvimento do conteúdo
citamos diversos regulamentos
e padrões que ajudam
empresas a se prepararem para
lidar com os riscos e ameaças
de segurança. Regulamentos e
Padrões de Segurança são
documentos estabelecidos por
governos e organizações com
o objetivo de definir requisitos
e diretrizes de segurança que
as empresas devem seguir,
fornecendo um conjunto de
regras, normas técnicas e
práticas recomendadas para
garantir que as empresas
implementem medidas de
segurança adequadas para
proteger suas operações,
sistemas e dados. Qual é a
norma que define os requisitos
para um Sistema de Gestão de
Segurança da Informação
(SGSI)?
 A ISO 27001.

B NIST SP 800-53.

C GDPR.

D LGPD.

E SANS Institute.

7 Marcar para revisão

Modelagem de ameaças é uma

técnica utilizada em
DevSecOps para identificação
e avaliação de possíveis
ameaças à segurança em um
sistema ou aplicação. Qual é o
objetivo da modelagem de
ameaças em DevSecOps?

Restaurar o pleno
A funcionamento dos
sistemas afetados.

Realizar testes de
B penetração e análise
de código.
 Implementar medidas
C de segurança em
nuvem.

Identificar e mitigar
D
vulnerabilidades.

Priorizar ameaças
E com base em critérios
qualitativos.

8 Marcar para revisão

Continuous Integration
(Integração Contínua) e
Continuous Delivery (Entrega
Contínua) são práticas de
engenharia de software
oriundos dos conceitos de
Automação e Orquestração que
são pilares fundamentais para
as abordagens DevOps e
DevSecOps. São práticas e
técnicas tão importantes que é
quase possível se afirmar que
sem elas DevOps e DevSecOps
não seriam possíveis, tamanho
o benefício que as práticas
trazem como suporte a DevOps
e DevSecOps. Qual é o objetivo
da prática de Continuous
Integration (Integração
Contínua)?
 Detectar erros no
ciclo de vida do
A
desenvolvimento de
software.

Incorporar práticas de
segurança em todas
as etapas do ciclo de
B
vida do
desenvolvimento de
software.

Automatizar o
processo de entrega
dos artefatos de
C
software, incluindo
testes e implantação
automatizada.

Entregar alterações
de código de forma
D
frequente, segura e
confiável.

Automatizar o
processo de
E compilação, teste e
implantação de
código-fonte.

9 Marcar para revisão

Em uma conferência recente

sobre Segurança da
Informação, uma discussão se
desencadeou sobre o conceito
de conformidade no campo.
Isso gerou uma série de
definições potenciais.

Qual é a definição de
conformidade no contexto de
Segurança da Informação?

Implementação de
práticas
A recomendadas de
segurança da
informação.

Gerenciamento e
controle da segurança
B
da informação em
uma organização.

Estabelecimento de
processo de
C
desenvolvimento de
software.

Estabelecimento de
processos claros e
D comunicação efetiva
dentro da
organização.

Cumprimento das leis,

regulamentos e
padrões
E estabelecidos para
garantir a segurança
dos dados e
informações.
 10 Marcar para revisão

Scripts e estruturas de testes

são práticas fundamentais para
DevSecOps pois são os
instrumentos utilizados pelas
ferramentas de Integração
Contínua e Entrega Contínua
para garantir que os
parâmetros de segurança estão
sendo avaliados como parte
das tarefas que garantem a
qualidade e segurança do
artefato de software em
desenvolvimento. Qual é a
finalidade dos scripts no
contexto do DevSecOps?

Integrar ferramentas
de segurança ao
A
pipeline de entrega
contínua.

Garantir a
conformidade do
B
software com leis e
regulamentos.

Automatizar tarefas
C repetitivas e
complexas.
 Executar testes de
D desempenho do
software.

Automatizar as tarefas
E
do ciclo de vida.