Segurança no Desenvolvimento de Software 2

Prévia do material em texto

Segurança no Desenvolvimento de Software 
1 
Notas: 5 
Marque a alternativa que não corresponde a um objetivo da fase de elaboração 
da arquitetura de software: 
Escolha uma resposta. 
 
a. Antecipar e mitigar riscos técnicos de um projeto. 
 b. Reduzir a complexidade ciclomática do código. 
 
 
c. Manter a rastreabilidade com os requisitos 
especificados. 
 
 
d. Garantir o alinhamento técnico do projeto com as 
diretrizes e estratégias organizacionais. 
 
Opção correta. 
Correto 
Notas relativas a este envio: 5/5. 
Question2 
Notas: 5 
Marque a alternativa correta: 
Escolha uma resposta. 
 
a. O uso de múltiplas camadas de proteção para dificultar 
que um atacante ultrapasse os controles de 
segurança consiste no princípio de “defesa em 
profundidade”. 
 
 
b. Segundo o princípio “segurança por obscuridade” as 
informações valiosas devem ser bem escondidas nos 
códigos pouco acessados, dificultando que um atacante as 
descubra. 
 
 
c. Um projeto de software aderente ao princípio de “falha 
segura” garante a recuperação automática em caso de 
falhas. 
 
 
d. É importante usar a menor quantidade possível de 
controles de segurança para atender ao princípio de 
“economia de mecanismos”. 
 
Opção correta. 
Correto 
Notas relativas a este envio: 5/5. 
Question3 
Notas: 5 
Marque a alternativa incorreta em relação à superfície de ataques: 
Escolha uma resposta. 
 
a. A superfície de ataques de uma aplicação consiste 
nos pontos de entrada e saída, que incluem as 
interfaces da aplicação, os formulários e os relatórios 
gerados pelo sistema. 
 
 
b. Um software com alta superfície de ataque é mais 
vulnerável que um software com baixa superfície de 
ataque. 
 
 
c. A superfície de ataque de um software cresce à 
medida que sua exposição aumenta, ou seja, uma 
aplicação com acesso remoto está mais suscetível a 
ataques que uma aplicação de acesso restrito. 
 
 
d. Documentos de apoio para a determinação da 
superfície de ataques incluem os documentos oriundos 
da fase de requisitos que ajudam a entender os 
requisitos do sistema, tais como os casos de uso e de 
abuso. 
 
Opção correta. 
Correto 
Notas relativas a este envio: 5/5. 
Question4 
Notas: 5 
Marque a alternativa correta em relação à modelagem de ameaças: 
Escolha uma resposta. 
 
a. Por melhor que seja a modelagem de ameaças, é 
inviável fazer o rastreamento entre os objetivos de 
negócio, as ameaças e os controles de segurança. 
 
 
b. A modelagem de ameaças é uma tarefa puramente 
manual em que o uso de sistemáticas com auxílio de 
 
ferramentas não consegue contribuir para a execução 
do trabalho. 
 
c. A modelagem de ameaças consiste em documentar 
os riscos de um software observando o ambiente de 
produção e toda a arquitetura da solução da 
perspectiva de um atacante. 
 
 
d. Uma ameaça pode ser não intencional ou maliciosa, 
sendo que a modelagem deve ter foco principal nas 
ameaças maliciosas, pois somente elas podem 
comprometer o software. 
 
Opção correta. 
Correto 
Notas relativas a este envio: 5/5. 
Question5 
Notas: 5 
Marque a alternativa correta em relação às categorias de amaças STRIDE: 
Escolha uma resposta. 
 
a. O vazamento ou exposição de informações (Information 
disclosure) é uma ameaça direta à integridade dos dados 
armazenados pelo sistema. 
 
 
b. Elevation of privilege é uma ameaça ao não repúdio que 
tem como objetivo ganhar permissões sem a devida 
autorização. 
 
 
c. O Denial of Service (DOS ou negação de serviço) é uma 
ameaça à disponibilidade do sistema e pode ser controlado 
por meio da criptografia das informações trafegadas entre o 
cliente e o servidor web. 
 
 
d. Spoofing consiste em falsificar credenciais 
de autenticação fazendo-se passar por alguém. 
 
Opção correta. 
Correto 
Notas relativas a este envio: 5/5.