A resposta correta para a questão é: C - certo.

Tema central da questão: A questão aborda a governança de segurança da informação e especificamente as ferramentas de testes de segurança.

Resumo teórico: Quando falamos em testes de segurança de aplicativos, é fundamental entender os diferentes tipos de testes:

• SAST (Static Application Security Testing): Análise estática do código fonte para identificar vulnerabilidades sem executar o programa.
• DAST (Dynamic Application Security Testing): Análise dinâmica que testa a aplicação em execução para encontrar falhas de segurança.
• IAST (Interactive Application Security Testing): Combina SAST e DAST, inserindo agentes no código em execução para monitorar e coletar informações sobre seu comportamento.

O IAST é particularmente eficaz porque ele atua durante a execução da aplicação, permitindo uma visão mais abrangente e precisa das vulnerabilidades.

Justificativa da alternativa correta: A descrição fornecida na questão sobre o IAST está correta. Ele realmente combina as abordagens estática e dinâmica (SAST e DAST) e usa agentes inseridos na aplicação para coletar dados enquanto o código está em execução. Isso proporciona uma análise mais profundada e contextualizada das potenciais vulnerabilidades.

Análise da alternativa incorreta: Neste caso, como se trata de uma questão de "Certo ou Errado", somente a explicação da alternativa correta é necessária.

Compreender como as diferentes ferramentas de teste de segurança funcionam é essencial para garantir a integridade e a proteção de aplicações, especialmente em um cargo como o de Analista de Desenvolvimento, onde a segurança do software é crucial.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Certo.

O IAST (Interactive Application Security Testing) é uma abordagem avançada para testes de segurança de aplicativos que combina características do SAST (Static Application Security Testing) e do DAST (Dynamic Application Security Testing).

• Ele insere agentes no código em execução (geralmente dentro da aplicação ou no servidor de aplicação).
• Esses agentes monitoram a execução do software em tempo real, analisando tanto o código-fonte quanto os comportamentos dinâmicos da aplicação.
• Com isso, o IAST consegue detectar vulnerabilidades com mais precisão do que o SAST e DAST isoladamente, pois tem visibilidade sobre o contexto da execução.

✅ Detecta vulnerabilidades com alta precisão, reduzindo falsos positivos.

✅ Funciona em tempo real, durante testes funcionais ou de integração.

✅ Ajuda desenvolvedores a identificar linhas exatas do código onde há vulnerabilidades.

Por essas razões, o IAST é uma solução eficaz para melhorar a segurança em ambientes de desenvolvimento ágil e DevSecOps.

⚠️Diferença em relação ao SAST, DAST, SCA e IAST:

• SAST → Analisa o código-fonte da aplicação. Estático.
• DAST → Testa a aplicação durante a execução, sem acesso ao código. Dinâmico.
• SCA → Não analisa código-fonte da aplicação principal, mas verifica bibliotecas e dependências externas.
• IAST → Combina técnicas de SAST e DAST, analisando a aplicação durante a execução com acesso ao código-fonte, identificando vulnerabilidades em tempo real.

Introdução a Governança de Segurança da Informação e Testes de Segurança

A governança de segurança da informação envolve a criação de políticas e controles para proteger dados e ativos digitais contra ameaças e vulnerabilidades. No contexto de segurança em sistemas, uma abordagem eficaz de testes de segurança é fundamental para identificar e corrigir vulnerabilidades em tempo hábil. Existem várias técnicas de testes de segurança, incluindo SAST (Static Application Security Testing) e DAST (Dynamic Application Security Testing). O SAST envolve a análise do código-fonte de um aplicativo sem executá-lo, identificando vulnerabilidades antes de o software ser executado. O DAST, por outro lado, foca na análise do comportamento de um aplicativo em tempo real, identificando falhas durante sua execução. Uma abordagem híbrida, como o IAST (Interactive Application Security Testing), combina o melhor dessas duas técnicas, oferecendo uma análise mais completa e eficiente da segurança de aplicações.

Resolução

A assertiva está correta. O IAST (Interactive Application Security Testing) é uma ferramenta de teste de segurança que combina elementos do SAST e do DAST. Ela utiliza agentes que são inseridos diretamente no código em execução, permitindo a coleta de informações detalhadas sobre o comportamento do aplicativo enquanto ele está em uso. Isso permite que o IAST forneça uma visão mais precisa das vulnerabilidades, não apenas verificando o código estático, como o SAST, mas também monitorando o aplicativo em tempo real, como o DAST. Essa combinação oferece uma análise mais abrangente, identificando problemas tanto no código quanto em sua execução prática.

Portanto, o IAST realmente combina as abordagens de SAST e DAST, ao mesmo tempo que insere agentes para monitorar a execução do aplicativo, melhorando a detecção e a correção de vulnerabilidades.

Resposta: Correta - Chatgpt