AVALIAÇÃO - PRÁTICAS DE DESENVOLVIMENTO SEGURO EM SISTEMAS

Pergunta 1
O conceito de preventivamente negar acesso a determinadas áreas em um sistema e prevenir ações que
possam colocar a corporação em riscos atende por:
● Integridade
● NDA
● Gerência
● Confidencialidade
● Disponibilidade

Pergunta 2
Risco é definido como:

● Uma decisão de negócio

● NDA
● Uma ameaça que explora uma vulnerabilidade.
● Um evento ou circunstância que causa um dano potencial
● A possibilidade de sofrer uma perda

Pergunta 3
As opções abaixo são exemplo de riscos tecnológicos, exceto:

● Segurança
● Gestão de Mudanças
● Codificação Segura
● Regulatório
● Privacidade

Os requisitos regulatórios, estão associados aos requisitos que determinada empresa tem que cumprir
para realizar as suas atividades empresariais, por exemplo normas bancárias determinadas pelo banco
Central.

Pergunta 4
Gerenciamento de Riscos quantitativos depende de:

● NDA
● A expertise de julgamento e a experiência
● Grau de Risco
● O histórico de perda de dados
● A definição dos fatores de impacto

O histórico de perda de dados permite que se possa gerenciar riscos quantitativos com base no histórico
de perdas decorrentes dos impactos.

Pergunta 5
O conceito de risco remanescente após se aplicar todos os controles de segurança da informação se
refere a:

● Risco de Software
 AVALIAÇÃO - PRÁTICAS DE DESENVOLVIMENTO SEGURO EM SISTEMAS

● NDA
● Risco de Negócio
● Aceitação do Risco
● Risco Residual

Pergunta 6
Os seguintes elementos são parte de um teste de performance exceto:

● Testes de Carga de Dados

● Testes de Carregamento
● Testes de Gerenciamento de Memória
● Testes de Stress
● Testes de Intrusão

O teste de performance se divide em 3 tipos:

● Teste de carga
● Testa o software sob as condições normais de uso. Ex.: tempo de resposta, número de
transações por minuto, usuários simultâneos etc.
● Teste de stress​ (como explicado acima)
● Teste de estabilidade: Testa se o sistema se mantém funcionando de maneira satisfatória após
um período de uso.
Fonte: ​https://pt.stackoverflow.com/questions/216571/o-que-%C3%A9-um-teste-de-stress

Pergunta 7
Para atacar um servidor web e obter uma cópia do arquivo de configuração um ataque pode utilizar qual
técnica:

● Ataque CSRF
● Solicitar o arquivo por email
● Explorar um problema de link
● Ataque XSS
● Ataque de Buffer Overflow

Um ataque do tipo XSS (Cross Site Script), permite à um atacante manipular as solicitações de arquivos
em um servidor Web .

Pergunta 8
O objetivo do rastreamento de Falhas de Software é:

● Determinar a origem da falha

● Endereçar o tratamento de erros
● Rastrear falhas
● Classificação das habilidades de codificação
● Rever o contrato sobre as cláusulas de falhas
 AVALIAÇÃO - PRÁTICAS DE DESENVOLVIMENTO SEGURO EM SISTEMAS

As condições descritas em um contrato de software não tratam de forma adequada as questões sobre
falhas de software.

Pergunta 9
A linguagem comum que falamos sobre vulnerabilidade em softwares responde pela seguinte sigla:

● CSV
● CVE
● CSSLX
● Vulnerability Language
● Portal de Serviços

O CVE (Common Vulnerability Exposed, descreve as vulnerabilidades de produtos de softwares).

Pergunta 10
Testes de Funcionalidades incluem todas as opções a seguir exceto:

● Testes de Performance
● Testes Unitários
● Teste de Sistema
● Testes de Aceitação
● Teste de Área de Superfície de Ataque
O teste de área de superfície de ataque é um tipo de teste de segurança e não um teste de
funcionalidade.

Pergunta 11

A qualificação do teste de software deve ser guiado por:

● Pelo Cliente
● Prioridade de resultados
● NDA
● Um plano
● Um teste inicial

Pergunta 12
Um ponto importante no gerenciamento de versões de software é:

● Um baseline para o produto

● A data de lançamento da versão
● A perfomance do produto
● O preço do produto
● Testes de produto
O baseline do produto permite a empresa realizar sua evolução a partir de uma versão estável e segura
do produto de software.

Pergunta 13
Mudanças de código podem causar:
 AVALIAÇÃO - PRÁTICAS DE DESENVOLVIMENTO SEGURO EM SISTEMAS

● Identificação latente de falhas

● Comprometer o sucesso do produto
● Falhas em outras partes da aplicação
● Introduzir mudanças não programadas
● Causar acidentes

Uma mudança em um software pode ocasionar falhas em outras partes do ambiente de software se não
forem avaliadas corretamente.

Pergunta 14
Ao se contratar uma empresa de software a gestão de segurança deve:

● Aguardar que o produto seja entrega com zero falhas de performance

● Excluir requisitos de segurança para minimizar recursos investidos
● Optar pela empresa de menor prazo e preço
● Ser de responsabilidade integral do contratante
● Contemplar critérios de Testes e Segurança

Pergunta 15
Testes de Software provêem evidências que o software esta de acordo com:

● O Contrato
● NDA
● Regulamentações locais
● Com o plano de gerenciamento
● Com o acesso ao usuário

O contrato definido entre os desenvolvedores do software e a empresa contratante definem o escopo do

produto, dentre outras regras de garantia de que o software está em consonância com o solicitado pelo
cliente.