A respeito de DevSecOps e de técnicas de análise de desempen...
O DevSecOps trata de segurança integrada, e não da segurança que funciona no perímetro em torno de aplicativos e dados, a qual também inclui a identificação dos riscos que estão envolvidos na cadeia de fornecimento do software.
✍ GABARITO(Errado) ✅
DevSecOps trata de segurança integrada, e não da segurança que funciona no perímetro em torno de aplicativos e dados.
- A segurança tradicional, muitas vezes chamada de segurança perimetral, concentra-se em proteger os sistemas e dados de ameaças externas. Isso pode ser feito usando firewalls, proxies, IPS/IDS e outras tecnologias.
A segurança integrada, por outro lado, considera a segurança em todas as etapas do ciclo de vida do software. Isso inclui:
- Segurança de código: A segurança é considerada desde o início do processo de desenvolvimento, e não apenas no final.
- Segurança de implantação: Os aplicativos são implantados com segurança, usando práticas como a segmentação de rede e a criptografia.
- Segurança de dados: Os dados são protegidos, usando práticas como a autenticação, a autorização e a criptografia.
- Segurança de operações: Os aplicativos são operados com segurança, usando práticas como o monitoramento e a resposta a incidentes.
A segurança integrada também inclui a identificação dos riscos que estão envolvidos na cadeia de fornecimento do software. A cadeia de fornecimento do software inclui todos os processos e pessoas envolvidos no desenvolvimento, implantação e operação de software.
Ao considerar a segurança em todas as etapas do ciclo de vida do software e na cadeia de fornecimento do software, DevSecOps pode ajudar a reduzir o risco de ataques cibernéticos.
Errado.
DevSecOps significa pensar na segurança da aplicação e da infraestrutura desde o início. Também significa automatizar algumas barreiras de segurança para evitar que o fluxo de trabalho de DevOps fique lento.
Fonte: https://www.redhat.com/pt-br/topics/devops/what-is-devsecops
Sim, está correto. O conceito de DevSecOps, que é uma extensão do DevOps, coloca um foco significativo na integração de práticas de segurança ao longo de todo o ciclo de vida do desenvolvimento de software. Ao contrário das abordagens tradicionais de segurança, que tendem a se concentrar em medidas de perímetro (como firewalls) e controles pós-desenvolvimento, o DevSecOps visa incorporar a segurança desde o início do processo de desenvolvimento até a produção.
Questão confusa... O pronome "a qual" se refere a o quê? Segurança integrada ou segurança que funciona no perímetro??
Gabarito: C - certo
O DevSecOps é uma filosofia de integração da segurança em todas as fases do ciclo de vida de desenvolvimento de software. A ideia central é que, ao invés de tratar a segurança como um aspecto que é apenas conferido após o desenvolvimento estar completo (um "perímetro" em torno da aplicação), a segurança deve ser uma preocupação contínua e integrada desde o início do processo de desenvolvimento. Isso significa que desenvolvedores, operações e profissionais de segurança trabalham de forma colaborativa para incorporar práticas de segurança em todas as etapas, desde o planejamento e a codificação até a implantação e a manutenção.
Um aspecto importante do DevSecOps é a análise das cadeias de fornecimento de software. Isso inclui a identificação de riscos associados a componentes de terceiros, bibliotecas e outros softwares que são integrados ao produto final. A preocupação com esses riscos é crítica, visto que vulnerabilidades em componentes de terceiros podem ser exploradas para comprometer toda a aplicação.
A alternativa está correta porque reflete a filosofia do DevSecOps de que a segurança não é apenas uma camada externa aplicada após o desenvolvimento, mas sim uma componente essencial integrada ao ciclo de vida do desenvolvimento de software, incluindo a análise proativa de riscos ao longo da cadeia de fornecimento.
Para entender e resolver a questão, é necessário ter conhecimento sobre as práticas de DevSecOps, a importância da segurança integrada no ciclo de desenvolvimento de software e os riscos associados a dependências externas e à cadeia de fornecimento de software.