Adg3 - Segurança em Engenharia de Software

Prévia do material em texto

A solução para a segurança de aplicativos da Web é mais do que tecnologia, pois 
envolve políticas, procedimentos, leis, pessoas e práticas. Além disso, a segurança 
não é um esforço único. Deve ser um processo contínuo integrado ao ciclo de vida 
de desenvolvimento de aplicativos. 
O que se caracteriza como falha de segurança? 
 
Alternativas: 
• a) 
Em geral, os aplicativos devem ser capazes de lidar com cenários 
indefinidos de maneira segura. Se ocorrer uma exceção ou falha de 
software, o processamento da solicitação deve ser concluído de maneira 
consistente com uma ação de negação (ou seja, um caminho de código 
seguro deve estar presente e ser usado). 
Alternativa assinalada 
• b) 
O princípio do menor privilégio recomenda que as contas (incluindo contas 
de aplicativo) tenham o menor privilégio necessário para executar seus 
processos de negócios. Isso abrange direitos do usuário, permissões de 
recursos, como limites de CPU, memória, rede e permissões do sistema de 
arquivos. 
• c) 
Os componentes seguros são resilientes à análise direta. Componentes 
projetados com transparência em mente fornecem as proteções mais fortes 
contra ameaças por serem conhecidos e comprovadamente seguros. 
“Segurança através da obscuridade” é o oposto de um Design Aberto e 
implica que as ameaças externas não têm conhecimento dos controles 
internos. A escolha de um design aberto ajuda a garantir que a segurança 
seja forte por ser claro e aparente. 
• d) 
Em relação ao design aberto, tente manter os controles o mais simples 
possível e, ao mesmo tempo, ser eficazes. Quanto mais código e 
complexidade um sistema tem, aumenta a probabilidade de bugs e 
vulnerabilidades estarem presentes no sistema. O uso de controles claros e 
concisos reduz o risco por ser simples de implementar e utilizar. 
• e) 
• Registre todos os eventos de segurança relevantes. Estabeleça procedimentos 
de monitoramento para esses logs. Estabeleça procedimentos para identificar 
intrusões e responder adequadamente. 
2) 
A solução para a segurança de aplicativos da Web é mais do que tecnologia, pois 
envolve políticas, procedimentos, leis, pessoas e práticas. Além disso, a segurança 
não é um esforço único. Deve ser um processo contínuo integrado ao ciclo de vida 
de desenvolvimento de aplicativos. 
O que se caracteriza como falha de segurança? 
 
Alternativas: 
• a) 
Em geral, os aplicativos devem ser capazes de lidar com cenários indefinidos 
de maneira segura. Se ocorrer uma exceção ou falha de software, o 
processamento da solicitação deve ser concluído de maneira consistente com 
uma ação de negação (ou seja, um caminho de código seguro deve estar 
presente e ser usado). 
Alternativa assinalada 
• b) 
O princípio do menor privilégio recomenda que as contas (incluindo contas 
de aplicativo) tenham o menor privilégio necessário para executar seus 
processos de negócios. Isso abrange direitos do usuário, permissões de 
recursos, como limites de CPU, memória, rede e permissões do sistema de 
arquivos. 
• c) 
Os componentes seguros são resilientes à análise direta. Componentes 
projetados com transparência em mente fornecem as proteções mais fortes 
contra ameaças por serem conhecidos e comprovadamente seguros. 
“Segurança através da obscuridade” é o oposto de um Design Aberto e 
implica que as ameaças externas não têm conhecimento dos controles 
internos. A escolha de um design aberto ajuda a garantir que a segurança 
seja forte por ser claro e aparente. 
• d) 
Em relação ao design aberto, tente manter os controles o mais simples 
possível e, ao mesmo tempo, ser eficazes. Quanto mais código e 
complexidade um sistema tem, aumenta a probabilidade de bugs e 
vulnerabilidades estarem presentes no sistema. O uso de controles claros e 
concisos reduz o risco por ser simples de implementar e utilizar. 
• e) 
Registre todos os eventos de segurança relevantes. Estabeleça 
procedimentos de monitoramento para esses logs. Estabeleça procedimentos 
para identificar intrusões e responder adequadamente. 
3) 
A segurança, como outros componentes de aplicativo da Web, é mais bem gerenciada 
se planejada na fase inicial do ciclo de vida do aplicativo. Essa estratégia ajudará os 
gerentes de projeto e profissionais de segurança a estabelecer políticas de segurança, 
conduzir avaliações de riscos e tratar os riscos potenciais de maneira econômica. 
Considerando as informações apresentadas, analise as afirmativas a seguir com 
relação as práticas para quem busca desenvolver softwares mais seguros e como 
garantir que seu time crie ferramentas confiáveis: 
 
I. Use métodos seguros para transferir e armazenar dados 
II. Faça uso de métodos de desenvolvimento seguros 
III. Sempre revise seu código para violações 
 
Considerando o contexto apresentado, é correto o que se afirma em: 
 
Alternativas: 
• a) 
I, apenas. 
• b) 
II, apenas. 
• c) 
III, apenas. 
• d) 
I e II apenas. 
• e) 
I, II e III. 
Alternativa assinalada 
4) 
O Centro de Estudos para Resposta e Tratamento de Incidentes em Computadores 
(CERT), é a instituição responsável pela investigação de crimes que acontecem no 
campo digital, como violação de dados e ataques cibernéticos. 
Assinale a alternativa que define a principal função desta instituição: 
 
Alternativas: 
• a) 
unificar as informações de incidentes de segurança com a colaboração de 
diversas entidades para a informação, análise e solução de problemas 
ocasionados. 
Alternativa assinalada 
• b) 
disseminar as informações de problemas de segurança com a colaboração de 
diversas entidades para a informação, análise e solução de problemas 
ocasionados. 
• c) 
elaborar as regras de segurança para a informação, análise e solução de 
problemas ocasionados. 
• d) 
cuidar dos times de pessoas das empresas que usam as regras de segurança 
com a colaboração de diversas entidades para a informação, análise e 
solução de problemas ocasionados. 
• e) 
divulgar o trabalho de colaboração de diversas entidades para a informação, 
análise e solução de problemas ocasionados.