ATV 3

Questions and Answers

O que significa SDLC?

Software development life cycle. (correct)

Security development life cycle.

Security design life cycle.

Software deployment life cycle.

Assinale a alternativa correta quando ao SSDLC.

É uma evolução do SDLC, pois acrescenta atividades referentes à segurança em cada uma das etapas de trabalho previstas no SDLC. (correct)

É uma evolução do SDLC, pois incluiu uma nova etapa de trabalho chamada segurança.

É uma linguagem de programação utilizada para a implementação de segurança em software.

É um framework da Microsoft referente ao desenvolvimento seguro de software.

Considerando que existem diversos frameworks que implementam SSDLC, analise as afirmativas a seguir. Depois, assinale a alternativa correta.

I. O modelo MSSDL não é proprietário e é mantido pela Microsoft.

II. CC (Common Criteria) é utilizado como documento base para a norma ISO 27001.

III. Alguns frameworks não têm tanto sucesso entre as empresas, pois são difundidos em ambientes acadêmicos. Entre esses frameworks, podemos citar o TPS.

Apenas as afirmativas I e II estão corretas

Apenas a afirmativa II está correta.

Apenas a afirmativa III está correta. (correct)

Apenas as afirmativas II e III estão corretas.

As atividades de “gerenciamento da conformidade” e de “políticas e padrões” estão presentes em uma área de negócio do SAMM. Assinale a alternativa que apresenta essa área.

Governança

A atividade "organização e cultura" da área de negócio governança estará com o maior nível de maturidade (3) quando existirem evidências para um conjunto de perguntas, ou seja, cada pergunta é respondida com a nota 1 ("Temos muitas ações e ferramentas para esse item").

Considerando isso, analise as evidências a seguir. Depois, assinale a resposta que contempla evidências sobre a atividade "organização e cultura”.

I. Em todas as equipes existe pelo menos uma pessoa com o papel de responsável pela segurança.

II. A empresa possui um comitê responsável pela excelência no desenvolvimento seguro de software.

III. Existem um portal e ferramentas para a troca de informações sobre segurança.

IV. Todos os colaboradores fizeram um treinamento personalizado sobre segurança.

Somente as evidências I, II e III podem ser utilizadas na atividade “organização e cultura”.

Analise as alternativas a seguir e assinale aquela que contempla atividades da área de negócio design.

Modelagem de ameaças; requisitos do software; design de arquitetura.

A área de negócio implementação possui três práticas de segurança. Considerando isso, analise os itens a seguir e assinale a alternativa que apresenta corretamente as práticas de segurança de implementação.

I. Gerenciamento de defeitos

II. Arquitetura segura

III. Testes de segurança

Apenas o item I está correto.

A atividade "rastreamento do defeito" da área de negócio implementação estará com o maior nível de maturidade (3) quando existirem evidências para um conjunto de perguntas, ou seja, cada pergunta da aferição deverá ser respondida com a nota 1 ("Temos muitas ações e ferramentas para esse item").

Considerando isso, analise os itens a seguir. Em seguida, assinale a alternativa que contempla evidências sobre a atividade "rastreamento do defeito".

I. Existe maneiras de rastrear os defeitos de segurança e elas estão acessíveis por meio de ferramentas.

II. O uso de DevOos permite a construção de um software totalmente automatizado.

III. A organização tem visão geral dos status dos defeitos de segurança.

IV. Após um defeito de segurança ter sido identificado, ele passa por uma análise de gravidade e a ele é atribuído um SLA, que é um tempo para ele ser concluído.

Apenas os itens I, III e IV estão corretos.

As práticas de segurança “testes orientados a requisitos” e “avaliação da arquitetura” estão presentes em uma área de negócio do SAMM. Assinale a alternativa que contém essa área de negócios.

Verificação

Analise as alternativas a seguir e assinale aquela que contempla atividades da área de negócio operação.

Proteção da configuração; proteção a dados; gerenciamento de legados.