Software Seguro y Calidad

Questions and Answers

¿Cuál es la función de un compilador en el proceso de transformación de un lenguaje de alto nivel?

Optimizar el código para mejor rendimiento

Ejecutar el programa directamente

Convertir el lenguaje ensamblador en código máquina

Transformar el código de alto nivel en lenguaje ensamblador (correct)

Un intérprete convierte el código de alto nivel directamente en lenguaje máquina sin necesidad de compilación.

True

¿Qué valor hexadecimal se mueve al registro ax cuando asignas 42 a la variable x?

2a

El lenguaje de más bajo nivel que puede entender directamente un procesador es el lenguaje __________.

máquina

Relaciona los siguientes lenguajes con su tipo:

JavaScript = Interpretado C = Compilado Python = Puede ser tanto interpretado como compilado Java = Puede ser tanto interpretado como compilado

¿Qué ventaja principal ofrece un entorno interpretado?

Independencia de la plataforma

Las aplicaciones en lenguajes compilados pueden ejecutarse sin necesidad de un compilador instalado en la máquina local.

True

¿Cuál es una desventaja principal de los lenguajes interpretados?

Requieren que el intérprete esté instalado en la máquina local

¿Cuál es la función principal de un sandbox en relación con un applet de Java?

Restringir el acceso a recursos del sistema.

Los applets de Java pueden causar actividades maliciosas tanto a propósito como accidentalmente.

True

¿Quién media el acceso a los recursos del sistema en un entorno de sandbox?

La máquina virtual de Java (JVM)

El ______ se encarga de verificar la adhesión a las reglas predeterminadas en Java.

verificador de bytecode

Relaciona los componentes con sus funciones:

Java Virtual Machine = Interpreta bytecode y gestiona recursos Cargador de applets = Carga applets desde el servidor Verificador de bytecode = Valida el código antes de su ejecución Gestor de seguridad de applets = Controla el acceso a recursos del sistema

¿Qué mecanismo proporciona la lengua Java para protegerse?

Todos los anteriores

Los programadores no pueden escribir applets que escapen del sandbox de Java.

False

¿Cuál es una de las amenazas a la seguridad que enfrentan los entornos de sandbox?

Acceso no autorizado a recursos del sistema

¿Cuál es una de las funciones de las APIs en el contexto de la seguridad?

Implementar controles de seguridad

Las APIs permiten a los desarrolladores acceder a la funcionalidad del sistema operativo sin restricciones.

False

¿Qué es la validación de parámetros?

Confirmar que los valores de parámetros recibidos están dentro de límites definidos.

Las __________ son colecciones de componentes que realizan tareas específicas útiles para otros componentes.

bibliotecas de software

Relaciona cada sistema operativo con su característica respecto a las APIs:

Apple macOS = Requiere APIs estándar para acceder a funciones del sistema Google Android = Usa APIs para acceso a la red y funciones de archivos Microsoft Windows = Implementa restricciones en el uso de APIs Linux = No requiere APIs para funcionalidades básicas

¿Por qué es importante validar los parámetros en un entorno cliente/servidor?

El cliente puede ser comprometido o eludido

¿Cuál es la principal función de un sistema de gestión de configuración de software (SCM)?

Mantener la integridad y trazabilidad del software

Las bibliotecas de software no juegan un papel importante en la reutilización del código.

False

Menciona un ejemplo de funcionalidad que las APIs permiten a los desarrolladores utilizar.

Apertura y cierre de archivos.

Las configuraciones inseguras no afectan la seguridad de un producto de software seguro.

False

¿Qué problema resuelve la gestión de configuración en el desarrollo de software?

El problema de las configuraciones incorrectas que pueden surgir durante el ciclo de vida del desarrollo.

La gestión de configuración permite el control de cambios a través de __________.

automatización

Asocia las funcionalidades de los sistemas SCM con su descripción:

Versionado = Control de cambios y seguimiento de revisiones Fusión = Unir cambios de diferentes desarrolladores Sincronización = Mantener actualizados varios repositorios de código Gestión de concurrencia = Manejo de cambios en archivos extraídos por múltiples usuarios

¿Cuál de las siguientes opciones representa un riesgo en la gestión de configuración?

Cambios no controlados en archivos

Los sistemas SCM no son relevantes en entornos de desarrollo seguros.

False

¿Cuál de las siguientes afirmaciones describe mejor el acoplamiento bajo?

Un módulo puede pasar un valor a otro módulo sin esperar resultados de otros módulos.

¿Qué determina el seguimiento de cambios en un sistema SCM?

La capacidad de verificar que el software final incluye todos los cambios aprobados.

El acoplamiento elevado disminuye la complejidad del programa.

False

¿Qué se entiende por cohesión alta en un objeto?

Un objeto que está diseñado para realizar una única función lógica.

El proceso de definir lo que hace una clase o un objeto y omitir cómo lo logra internamente se conoce como _____ .

abstracción

Empareja los siguientes términos con sus descripciones:

Acoplamiento alto = Dependencia de múltiples módulos Cohesión alta = Realización de una única función Abstracción = Sistematización de la interacción entre componentes API = Definición de la manera en que los componentes se interrelacionan

¿Qué efecto tiene la complejidad en la seguridad de un programa?

Aumenta la probabilidad de vulnerabilidades.

La disminución de la complejidad de un programa puede ayudar a mejorar su seguridad.

True

¿Cuál es el objetivo principal de una API?

Especificar cómo los componentes de software interactúan entre sí.

¿Cuál es una ventaja de utilizar SSH en los repositorios?

Cifra todo el tráfico

La infraestructura de clave pública (PKI) asegura la no repudio en las comunicaciones SSH.

True

¿Qué se requiere para llevar a cabo una evaluación de seguridad de software?

Revisar documentos aplicables y desarrollar un plan de verificación.

El desarrollo seguro de software se basa en una política organizacional fundamentada en la gestión de ______.

riesgos

Empareja los métodos de evaluación de seguridad con su descripción:

SAST = Análisis de código estático DAST = Análisis de código dinámico Unit Testing = Pruebas de componentes individuales Integration Testing = Pruebas de integración entre componentes

¿Cuál de los siguientes es un método de prueba mencionado para evaluar la seguridad del software?

SAST

Elegir un proveedor de servicios de repositorio web es una opción adecuada para proyectos con grandes inversiones de propiedad intelectual.

False

Menciona dos áreas que requieren atención adicional durante una evaluación de seguridad de software.

Gestionar riesgos asociados con el desarrollo de software y auditar cambios de software.

El principal propósito de una evaluación de seguridad de software es verificar que la cadena desde la política hasta el ______ funciona correctamente.

producto

Study Notes

Secure Software

• Programming languages are crucial for software creation, with machine language (binary) being the most fundamental form.
• Assembly language uses symbols (mnemonics) to represent machine code, improving programmer efficiency.
• High-level languages (e.g., C, Java, Python) are closer to human language than machine code, leading to more readable and maintainable code.
• Quality software is defined as fitness for purpose.
• Successful software compromises exploit vulnerabilities. These vulnerabilities often stem from defects in the code's design or execution.
• Software security and quality are intrinsically linked; one cannot exist without the other.
• High-quality software is harder to exploit because it's less prone to defects.

Description

En este cuestionario, exploraremos la relación entre la programación de software, su calidad y la seguridad. Aprenderás sobre los diferentes niveles de lenguajes de programación y cómo afectan la capacidad de un software para resistir vulnerabilidades. Conoce las mejores prácticas para asegurar que el software cumpla con su propósito de manera efectiva.