15 - Cultura e Práticas DevSecOps (2023)_AvaliacaoFinal

Prévia do material em texto

21/03/24, 22:01 histórico de teste: PROVA ON-LINE
https://pucminas.instructure.com/courses/145920/quizzes/381895/history?version=1 1/5
 Possibilita a entrega rápida, sustentável e confiável do software onde ele precisa estar.
Permite que as equipes de desenvolvimento trabalhem simultaneamente no mesmo aplicativo, porém, podem
ocorrer conflitos.
 Possibilita a entrega contínua de software.
Correto!
Permite que as equipes de desenvolvimento trabalhem simultaneamente no mesmo aplicativo sem criar conflitos.
CD – Entrega contínua é a parte responsável pela entrega rápida e contínua de software. CI –
Integração contínua cobre a parte de desenvolvimento e testes.

Pergunta 2
4 / 4 pts
 Ser capaz de responder às mudanças é mais importante do que seguir um plano.
 A colaboração com o cliente é mais importante do que a negociação de contrato.
Correto!
 A prioridade do time é satisfazer o cliente com entregas antecipadas e contínuas, com valor percebido.
 As interações dos indivíduos são mais importantes do que processos ou ferramentas.
 “A prioridade do time é satisfazer o cliente com entregas antecipadas e contínuas, com valor
percebido” é um dos 12 princípios do Manifesto Ágil.

PROVA ON-LINE Resultados para -
Pontuação desta tentativa: 36 de 40
Enviado 21 mar em 22:01
Esta tentativa levou 18 minutos.

Pergunta 1
4 / 4 pts
Durante as aulas da Unidade 1 falamos sobre CI/CD - Continuous Integration/Continuous Delivery, 
sua importância e seus benefícios.
Sobre integração contínua, é correto afirmar que:
Durante as aulas da Unidade 1 falamos sobre Metodologia Ágil, quais os seus pilares e princípios.
Qual das alternativas a seguir não é um pilar do Manifesto Ágil?
21/03/24, 22:01 - histórico de teste: PROVA ON-LINE
https://pucminas.instructure.com/courses/145920/quizzes/381895/history?version=1 2/5
Pergunta 3
4 / 4 pts
 Entregar o projeto como um todo, nunca em partes.
 Reuniões longas e feitas com os participantes sentados.
 Só apresentar o projeto para o cliente quando ele estiver todo finalizado.
Correto!
 Reuniões curtas e feitas com os participantes em pé.
Segundo os pilares e princípios do Manifesto Ágil, podemos considerar como boas práticas:
pequenas entregas, contato frequente com o cliente para apresentação do software e reuniões
curtas.

Pergunta 4
4 / 4 pts
 Testes End-to-End.
 Testes de chaos.
Correto!
 Pentest.
 Testes unitários.
Pentest é uma técnica utilizada para verificar a segurança de uma aplicação.

Pergunta 5
4 / 4 pts
 A qualidade é feita de características percebidas somente pela equipe de desenvolvimento.
 Quando falarmos de qualidade de software devemos pensar apenas na satisfação do cliente.
Correto!
Durante as aulas da Unidade 1 falamos sobre Metodologia Ágil, quais os seus pilares e princípios.
Qual das alternativas abaixo apresenta uma prática recomendável pelo Manifesto Ágil?
Durante as aulas da Unidade 2 falamos sobre Qualidade de Software e sobre os testes e técnicas
utilizadas nesse processo.
Qual das alternativas abaixo não é uma técnica utilizada para garantir a qualidade do software?
Durante as aulas da Unidade 2 falamos sobre Qualidade de Software e sobre os testes e técnicas
utilizadas nesse processo.
Sobre Qualidade de Software, é correto afirmar que:
21/03/24, 22:01 - histórico de teste: PROVA ON-LINE
https://pucminas.instructure.com/courses/145920/quizzes/381895/history?version=1 3/5
A qualidade é feita de características percebidas, não só para o usuário final, quanto também pela própria equipe
de desenvolvimento.
 A qualidade é feita de características percebidas somente pelo o usuário final.
É importante quando falarmos de qualidade de software sempre pensar na visão do cliente e das
equipes envolvidas no projeto.

Pergunta 6
0 / 4 pts
 Falhas do tipo “Security Misconfiguration” continuam presentes na lista de 2021.
 Foi criada uma nova categoria, “Software and Data Integrity Failures”, na lista de 2021.
Você respondeu
 Falhas do tipo “Injection” continuam figurando entre as falhas mais observadas.
Resposta correta
 Falhas do tipo “Insufficient Logging and Monitoring” não estão mais presentes na lista de 2021.
As falhas do tipo “Insufficient Logging and Monitoring” continuam presentes na lista de 2021, porém,
elas foram realocadas na nova categoria “Security Logging and Monitoring Failures”.

Pergunta 7
4 / 4 pts
Correto!
Fornece uma base para testar os controles técnicos de segurança de aplicações Web e também fornece aos
desenvolvedores uma lista de requisitos para desenvolvimento seguro.
Tem como principal objetivo oferecer aos desenvolvedores e profissionais de segurança de aplicações uma visão
dos riscos de segurança mais prevalentes, para que possam incorporar as descobertas e recomendações do
relatório em suas práticas de segurança.
Durante as aulas da Unidade 3 falamos sobre a entidade OWASP, sua importância e alguns dos
principais projetos.
Sobre o projeto OWASP Top Tem, é incorreto afirmar sobre as diferenças entre as listas Top 10 –
2017 e a atual (Top 10 – 2021):
Durante as aulas da Unidade 3 falamos sobre a entidade OWASP, sua importância e alguns dos
principais projetos.
Sobre o projeto OWASP ASVS, é correto afirmar que:
21/03/24, 22:01 - histórico de teste: PROVA ON-LINE
https://pucminas.instructure.com/courses/145920/quizzes/381895/history?version=1 4/5
Foi criado com a missão de fornecer uma maneira eficaz e mensurável para todos os tipos de organizações
analisarem e melhorarem sua postura de segurança de software.
 É um modelo prescritivo, uma estrutura aberta que é simples de usar, totalmente definida e mensurável.
As alternativas “Foi criado com a missão de fornecer uma maneira eficaz e mensurável para todos
os tipos de organizações analisarem e melhorarem sua postura de segurança de software” e “É um
modelo prescritivo, uma estrutura aberta que é simples de usar, totalmente definida e mensurável”
referem-se ao projeto OWASP SAMM. A alternativa “Tem como principal objetivo oferecer aos
desenvolvedores e profissionais de segurança de aplicações uma visão dos riscos de segurança
mais prevalentes, para que possam incorporar as descobertas e recomendações do relatório em
suas práticas de segurança” é referente ao projeto OWASP Top 10.

Pergunta 8
4 / 4 pts
Correto!
Correção de vulnerabilidades: a implementação de uma variedade de práticas de Security by Design
(conscientização, conhecimento, ferramentas e verificações) permite que as falhas de segurança sejam removidas
com mais facilidade e rapidez do que testando somente no final do ciclo de desenvolvimento.
Resiliência: determinar exatamente quais erros foram cometidos permite adaptar o processo de desenvolvimento
para evitar erros futuros.
Economia: as práticas de Security by Design resultam em um sistema resiliente, em que a segurança é incorporada
por padrão ao invés de adicionada às pressas como uma correção.
 Adaptação: resolver problemas de segurança no início é muito mais eficiente e econômico.
Economia: resolver problemas de segurança no início é muito mais eficiente e econômico. 
Resiliência: as práticas de Security by Design resultam em um sistema resiliente, em que a
segurança é incorporada por padrão ao invés de adicionada às pressas como uma correção.
Correção de vulnerabilidades: a implementação de uma variedade de práticas de Security by
Design (conscientização, conhecimento, ferramentas e verificações) permite que as falhas de
segurança sejam removidas com mais facilidade e rapidez do que testando somente no final do
ciclo de desenvolvimento.
Adaptação: determinar exatamente quais erros foram cometidos permite adaptar o processo de
desenvolvimento para evitar erros futuros.
Durante as aulas da Unidade 3 falamos sobre Security by Design, seus princípios, boas práticas e
sua importância na cultura DevSecOps.
Qual das alternativas abaixa apresenta uma definição correta de um dos benefícios de Security by
Design?
21/03/24, 22:01 - histórico de teste: PROVA ON-LINE
https://pucminas.instructure.com/courses/145920/quizzes/381895/history?version=15/5

Pergunta 9
4 / 4 pts
Monitoramento de rede: rastreia o desempenho e a disponibilidade de uma rede de computadores e seus
componentes individuais.
Correto!
 Monitoramento de acesso à API: rastreia o desempenho e a disponibilidade dos aplicativos.
Monitoramento sintético: pode testar o desempenho, a funcionalidade e a confiabilidade de componentes
individuais do sistema ou de um sistema inteiro.
Monitoramento de infraestrutura: rastreia o desempenho e a disponibilidade de sistemas e redes de computadores.
O monitoramento de acesso à API rastreia e registra o acesso e o tráfego da API, dessa forma é
possível identificar e impedir situações como acesso não autorizado e possíveis ataques DDoS.

Pergunta 10
4 / 4 pts
Correto!
 Falhas de segurança.
 Tempo de ciclo de solicitação de pull request.
 Frequência de implantação.
 Número de erros de código.
Em termos de processo de monitoramento na entrega de software, falhas de segurança não são
utilizadas para determinar linhas de base para KPI´s.
Pontuação do teste: 36 de 40
Durante as aulas dessa unidade falamos sobre Monitoramento de DevOps, sua importância e seus
benefícios.
Sobre casos de uso de monitoramento, é incorreto afirmar que:
Durante as aulas da Unidade 4 falamos sobre Monitoramento de DevOps, sua importância e seus
benefícios.
Em termos de processo de entrega de software, qual das alternativas a seguir não é um exemplo de
KPI determinado com base nas informações de monitoramento?