Aap2 - Segurança em Engenharia de Software

Prévia do material em texto

O objetivo da segurança em aplicações é manter confidencialidade, integridade e 
disponibilidade dos recursos de informação a fim de permitir que as operações de 
negócios sejam bem sucedidas e esse objetivo é alcançado através da implementação 
de controles de segurança. 
Dadas as opções abaixo, marque a alternativa que corresponde à preservação da 
precisão, consistência e confiabilidade das informações e sistemas pela empresa ao 
longo dos processos ou de seu ciclo de vida. 
 
Alternativas: 
• a) 
Confidencialidade. 
• b) 
Integridade. 
Alternativa assinalada 
• c) 
Disponibilidade. 
• d) 
Manutenibilidade. 
• e) 
Interoperabilidade. 
2) 
As principais vulnerabilidades de segurança em aplicações web são também as mais 
comuns, e exatamente por isso, são as mais perigosas. Antes de tentar métodos 
mais complexos, um invasor certamente tentará hackear sua aplicação com 
estratégias mais simples. Só depois de testar as vulnerabilidades mais comuns e 
falhar, o hacker muda para uma abordagem mais complexa – ou desiste de invadir 
seu sistema. 
Na prática de programação segura, a ação que pode ser adotada para mitigar ataques 
que exploram a inserção de comandos em campos de formulários dos sistemas, 
especialmente em sistemas web, como o ataque de "SQL Injection", é descrita com 
 
Alternativas: 
• a) 
codificação dos dados de entrada. 
• b) 
criptografia dos dados de entrada. 
• c) 
autenticação de usuários. 
• d) 
validação dos dados de entrada. 
Alternativa assinalada 
• e) 
autenticação dos servidores. 
3) 
A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos 
que reúne profissionais voluntários de segurança de aplicações ao redor do mundo, 
com o intuito de produzir material para a construção de software mais seguro. Um 
dos principais trabalhos da entidade é o guia OWASP Top 10, que é publicado a partir 
de dados estatísticos de diversas organizações que atuam na indústria. 
Como exemplo, cita-se a falha categorizada como A1- Injeção: as falhas de injeção, 
tais como injeção de SQL, de Sistema Operacional (SO) e de LDAP, ocorrem quando 
dados não confiáveis são enviados para um interpretador como parte de um comando 
ou uma consulta. Os dados manipulados pelo atacante podem iludir o interpretador 
para que ele execute comandos indesejados ou permita o acesso a dados não 
autorizados. 
Acerca dos conceitos relacionados ao desenvolvimento seguro de aplicações, assinale 
a alternativa correta 
 
Alternativas: 
• a) 
A responsabilidade de desenvolver aplicações seguras é dos 
desenvolvedores. 
• b) 
Para que um software seja considerado seguro, é suficiente que possua certa 
resiliência. 
• c) 
A aplicação de criptografia na informação gerenciada pela aplicação e o uso 
do SSL/TLS para a proteção da comunicação são suficientes para manter as 
aplicações web protegidas. 
• d) 
Um ciclo de desenvolvimento de software seguro é aquele em que atividades 
de segurança são aplicadas ao longo das etapas de requisitos, projeto, 
codificação, testes, operação e descarte. 
Alternativa assinalada 
• e) 
Para que um software seja considerado seguro, é preciso ser desenvolvido 
somente criptografado. 
4) 
O controle de Análise e especificação de requisitos de segurança da ISO 27001 
declara que requisitos para proteger informações deveriam ser incluídos nos 
requisitos para sistemas de informação. Um exemplo de um requisito de proteção é 
o acesso controlado a informação, de acordo com o nível de liberação. 
Dado o texto acima, quando falamos que temos a alteração de uma informação 
disponível em uma rede de forma insegura ou em algum sistema inseguro, estamos 
falando sobre o conceito de 
 
Alternativas: 
• a) 
Confidencialidade. 
• b) 
Autenticação. 
• c) 
Integridade. 
Alternativa assinalada 
• d) 
Não-repúdio. 
• e) 
Disponibilidade.