Julgue o item subsecutivo, a respeito de técnicas e ferramen...
SAST (static application security testing), DAST (dynamic application security testing) e SCA (software composition analysis) são técnicas de análise do comportamento dinâmico das aplicações em tempo de execução, com a finalidade de garantir que todos os componentes do software sejam seguros e livres de vulnerabilidades.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Alternativa Correta: E - errado
A questão aborda a análise de segurança das aplicações, especificamente técnicas como Static Application Security Testing (SAST), Dynamic Application Security Testing (DAST) e Software Composition Analysis (SCA). Essas técnicas são cruciais para garantir que as aplicações sejam desenvolvidas e mantenham-se seguras contra vulnerabilidades.
Resumo Teórico:
SAST é uma técnica que analisa o código-fonte estático das aplicações para identificar vulnerabilidades. Essa análise é feita sem executar o programa, buscando por falhas diretamente no código, como o uso incorreto de APIs, vazamentos de dados, entre outros.
DAST, por outro lado, testa a aplicação em execução, simulando ataques para verificar vulnerabilidades no ambiente operacional, como injeção de SQL, XSS (Cross-Site Scripting), entre outros.
SCA foca na análise dos componentes de terceiros utilizados no software, identificando vulnerabilidades conhecidas que possam existir nas bibliotecas e frameworks incorporados à aplicação.
Justificativa da Resposta Correta:
A afirmação dada na questão é errada porque ela atribui de forma incorreta a todas as técnicas mencionadas (SAST, DAST e SCA) a análise do comportamento dinâmico das aplicações em tempo de execução. Na verdade, apenas o DAST se concentra no comportamento dinâmico, enquanto o SAST analisa o código estático, e o SCA avalia componentes de software para vulnerabilidades conhecidas.
Exame das Alternativas Incorretas:
Não há outras alternativas para analisar, dado que é uma questão de "Certo ou Errado". A alternativa “Certo” estaria incorreta, pois a justificativa para "Errado" se aplica adequadamente, conforme detalhado acima.
Gostou do comentário? Deixe sua avaliação aqui embaixo!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Nada é livre 100% de vulnerabilidade.
- SAST (static application security testing) - É uma técninca que analisa o código-fonte de forma estática (sem executar o programa) para identificar vulnerabilidades. É usado durante o desenvolvimento, antes da aplicação ser executada.
- DAST (dynamic application security testing) - Foca da análise dinâmica do comportamento das aplicações em tempo de execução. Ele testa a aplicação enquanto está funcionando, simulando ataques para encontar problemas de segurança.
- SCA (software composition analysis) - É uma técnica usada para avaliar os componentes de terceiros (bibliotecas e dependências) em busca de vulnerabilidades conhecidas e questões de licenciamento.
Portanto, a frase está incorreta ao afirmar que essas técnicas analisam o comportamento dinâmico em tempo de execução. Apenas o DAST faz isso
Gab: Errado
Eu pensei que o SAST não analisa em tempo de execução mas apenas o código em si, fui por esse raciocinio
.
SAST é estático e não dinâmico.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos