Segurança aplicada no desenvolvimento de Software UniaSsLV!

Prévia do material em texto

1
O termo auditoria pode ser utilizado para definir uma variedade significativa de atividades no nosso meio social. Conforme Neto (2012, p. 24), “auditoria compreende o processo sistemático de obtenção e avaliação de evidências com foco em afirmações sobre ações e eventos econômicos para avaliar o grau de correspondência entre essas afirmações e os critérios estabelecidos, para comunicação dos resultados aos usuários interessados”.
Sobre os termos de auditoria de sistemas, assinale a alternativa CORRETA:
 
FONTE: NETO, F. X. F. Proposta de método de auditoria aos projetos de software baseados no processo unificado. São Paulo: Centro Estadual de Educação Tecnológica Paula Souza, 2012.
A
Afirmações sobre ações e eventos econômicos: análise das bases das afirmações de modo justo e imparcial.
B
Processo sistemático: declarações ou informações cedidas pelo indivíduo ou entidade correspondente aos assuntos sujeitos à auditoria.
C
Grau de correspondência: afinidade com que as afirmações são associadas com os critérios estabelecidos.
D
Obtenção e avaliação objetiva das evidências: engloba uma série de etapas e procedimentos organizados de modo lógico e estruturado.
2
O COBIT foi desenvolvido para ser usado por provedores de serviços, usuários e auditores, mas, também, para fornecer um guia completo para os gestores. De acordo com a estrutura COBIT, as informações devem se ajustar a determinados critérios de controle, os quais o COBIT define como necessidades de informação da empresa. Com relação aos critérios de controle, classifique V para as sentenças verdadeiras e F para as falsas:
 
(    ) EFETIVIDADE: aderência a leis, regulamentos e obrigações contratuais aos quais os processos de negócios estão sujeitos.
 
(    ) INTEGRIDADE: fidedignidade e totalidade da informação, além da validade, de acordo os valores de negócios e expectativas.
 
(    ) CONFORMIDADE: informação relevante e pertinente para o processo de negócio.
Assinale a alternativa que apresenta a sequência CORRETA:
A
V - F - V.
B
F - V - F.
C
F - F - V.
D
F - F - F.
3
O risco, no contexto da área de software, tem como objetivo ser incremental e direcionado à análise de riscos. A área de riscos na engenharia de software evoluiu, já que passou de uma análise dentro dos modelos para uma gerência que está presente em todos os processos do ciclo de vida do software. Sobre as categorias de riscos, classifique V para as sentenças verdadeiras e F para as falsas:
 
(    ) Riscos de Projeto de Software: define os parâmetros operacionais, organizacionais e contratuais de desenvolvimento de software.
 
(    ) Riscos de Processo de Software: relacionam-se os problemas técnicos e de gerenciamento.
 
(    ) Riscos de Produto de Software: contém as características intermediárias e finais do produto.
Assinale a alternativa que apresenta a sequência CORRETA:
A
F - F - V.
B
V - V - V.
C
F - V - F.
D
V - F - F.
4
A classificação de vulnerabilidades, conforme sua severidade, é denominada de Common Vulnerability Scoring System (CVSS). Esse modelo fornece um padrão para classificação das vulnerabilidades por gravidade de risco, atribuindo valores de 1 a 10, quanto maior o número, maior é a gravidade. Com relação ao exposto e às métricas de classificação, classifique V para as sentenças verdadeiras e F para as falsas:
 
(    ) Base: características intrínsecas e fundamentais de uma vulnerabilidade que são constantes ao longo do tempo e dos ambientes do usuário.
 
(    ) Ambiental: características de uma vulnerabilidade que são relevantes e exclusivas para o ambiente de um determinado usuário.
 
(    ) Temporal: características de uma vulnerabilidade que se altera ao longo do tempo, porém não entre os ambientes do usuário.
Assinale a alternativa que apresenta a sequência CORRETA:
A
V - F - V.
B
V - F - F.
C
V - V - V.
D
F - F - V.
5
Os ataques passivos estão relacionados com a violação das regras de confidencialidade e não causam danos, ou seja, não excluem ou alteram dados. Já os ataques ativos são caracterizados por serem mais perigosos, por alterarem o status dos dados, computadores ou sistemas de comunicação.
Sobre as principais técnicas usadas em ataques a aplicações web, assinale a alternativa CORRETA:
A
Revelação de estrutura: é uma técnica utilizada em ataques do tipo Passagem Manipulada de Parâmetro. O atacante usa códigos Unicode nos caracteres enviados ao servidor.
B
Recuperação de conteúdos:  variação da técnica de SQL Injection que insere caracteres e strings que se adaptam à string de consulta ao banco interno da aplicação.
C
SQL Injection: explora fragilidades em aplicações web que recebem strings, ou até mesmo pedaços de strings que tenham comandos da linguagem SQL.
D
Codificação de caractere: os atacantes exploram as vulnerabilidades dos drivers de conexão com as do banco, expondo os conteúdos de determinados tipos de campos quando encontrada uma condição de erro.
6
Os riscos transversais presentes em toda organização são verificados na gestão de risco, sendo mais abrangente e tendo, por isso, funções de auditoria conceitualmente incluídas. O gerenciamento de riscos pode ser aplicado a todas as atividades inclusas dentro de uma organização, não somente à aplicação da Tecnologia da Informação.
Sobre o exposto, assinale a alternativa CORRETA:
A
Auditoria durante o desenvolvimento de sistemas: compreende a análise da causa, da consequência e da ação corretiva dos eventos que não se encontram sob auditoria.
B
Auditoria de sistemas em produção: compreende os procedimentos e resultados dos sistemas de informação já implantados. Assim, possui características preventivas e corretivas.
C
Auditoria do ambiente de tecnologia da informação: compreende o processo total de desenvolvimento de sistemas de informação, considerando a fase de levantamento do sistema até o teste final de implantação.
D
Auditoria de eventos específicos: compreende a análise do ambiente de informática em relação à estrutura; contratos de software e hardware; normas técnicas e operacionais; recursos financeiros; uso dos equipamentos; elaboração dos planos de segurança e contingência.
7
Os requisitos de segurança de software precisam englobar as necessidades de segurança da organização definidas nas políticas organizacionais. O que se percebe como ponto fundamental no delineamento dos requisitos de segurança é o reconhecimento das ameaças. Os requisitos podem ser alinhados conforme as fontes. Sobre essas fontes, classifique V para as sentenças verdadeiras e F para as falsas:
 
(    ) Fonte da análise: considera os objetivos e as estratégias globais do negócio da organização.
 
(    ) Fonte legal: considera a legislação vigente, regulamentação, estatutos e cláusulas contratuais que a organização, os parceiros comerciais, os contratados e os provedores de serviços possuem.  
 
(    ) Fonte Keep It: por meio da análise e da avaliação de riscos, são indicadas as ameaças aos ativos, além das vulnerabilidades.
Assinale a alternativa que apresenta a sequência CORRETA:
A
V - F - F.
B
F - V - F.
C
F - F - V.
D
V - V - F.
8
O CMMI organiza as melhores práticas que foram comprovadamente efetivas, em uma estrutura que auxilia a organização a formular metas e prioridades para melhoria, além de fornecer um guia para implementação dessas melhorias. A maturidade é definida, no CMMI, como um nível organizacional que uma empresa pode alcançar. Sobre esses níveis, analise as opções a seguir:
 
I- Nível 2 = otimização.
 
II- Nível 4= gerenciado quantitativamente.
 
III - Nível 5 = gerenciado.
Assinale a alternativa CORRETA:
A
Somente a opção II está correta.
B
As opções II e III estão corretas.
C
As opções I e II estão corretas.
D
Somente a opção I está correta.
9
Usualmente, as falhas ocorrem na entrada de dados. Quando não são tratadas de modo correto, permitem a inserção de códigos maliciosos. Desse modo, é essencial que toda entrada de dados seja tratada e que se usem as bibliotecas de autossanitização de páginas. Com relação às três categorias gerais propostas por CWE/SANS, classifique V para as sentençasverdadeiras e F para as falsas:
 
(    ) Categoria interação insegura entre componentes: representa os modos inseguros de envio e recebimento dos dados entre componentes, processos, programas etc.
 
(    ) Gerenciamento inadequado de recursos: representa as situações em que o software não gerencia, de modo correto, a criação, utilização, transferência ou destruição de recursos do sistema.
 
(    ) Configurações inseguras: representam as técnicas defensivas mal configuradas que podem sofrer alterações.
Assinale a alternativa que apresenta a sequência CORRETA:
A
V - V - F.
B
F - F - V.
C
V - F - F.
D
V - F - V.
10
Um modelo de processo de software pode ser compreendido como um roteiro a ser seguido para desenvolver um software de alta qualidade em um tempo determinado (PRESSMAN; MAXIM, 2016).
Sobre os Modelos de processo de Software, assinale a alternativa CORRETA:
 
FONTE: PRESSMAN, R. S.; MAXIM, B. R. Engenharia de software: uma abordagem profissional. 8. ed. Porto Alegre: Bookman, 2016.
A
Modelo baseado em componentes: caracterizado por ser iterativo e ter características que possibilitem o desenvolvimento de versões mais completas do software.
B
Modelo evolucionário: combina elementos dos fluxos de processos lineares e paralelos.
C
Modelo incremental: tem como base a existência de um número significativo de componentes reutilizáveis.
D
Modelo cascata: atividades de especificação, desenvolvimento, validação e evolução, que são fundamentais ao processo, como fases separadas do processo, como a especificação de requisitos, o projeto de software, os testes, e assim por diante.