A definição de requisitos de segurança no início do ciclo d...

Próximas questões
Com base no mesmo assunto
Q3508308
Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos , Segurança de sistemas de informação ,
Ano: 2025 Banca: FURB Órgão: Prefeitura de Florianópolis - SC Prova: FURB - 2025 - Prefeitura de Florianópolis - SC - Auditor Fiscal de Tributos Municipais - Tecnologia da Informação - 2º Dia |
Q3508308 Segurança da Informação

A definição de requisitos de segurança no início do ciclo de vida do software, como preconiza o SDL (Security Development Lifecycle), reduz o custo e o impacto das vulnerabilidades. Analise as afirmações a seguir:



I. A modelagem de ameaças no SDL ocorre antes da codificação e ajuda a identificar vetores de ataque.


II. SDL recomenda que as práticas de segurança sejam implementadas somente após a codificação.


III. O SDL substitui totalmente a necessidade de testes de penetração.



É correto o que se afirma em:

Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Alternativa correta: E - I, apenas.

1. Tema central da questão
A questão avalia o entendimento do Security Development Lifecycle (SDL), principalmente sobre o momento de aplicação das práticas de segurança no desenvolvimento de software. Esse é um tema crucial para evitar vulnerabilidades e reduzir custos futuros, sendo bastante cobrado em concursos da área de segurança da informação.

2. Resumo teórico
O SDL é um processo estruturado criado para integrar práticas de segurança desde o início do ciclo de vida do software. Uma das etapas mais importantes é a modelagem de ameaças (threat modeling), normalmente realizada antes da codificação. O objetivo é antecipar possíveis riscos, preparar controles e evitar retrabalho, o que está alinhado com normas como a ISO/IEC 27034.

3. Justificativa da alternativa correta (E)
A afirmação I está correta: a modelagem de ameaças no SDL ocorre antes da codificação, permitindo identificar vetores de ataque enquanto ainda é possível agir preventivamente.
Fontes confiáveis como a Microsoft SDL confirmam esse posicionamento (https://www.microsoft.com/en-us/securityengineering/sdl/).

4. Análise das alternativas incorretas

II. Incorreta. O SDL recomenda aplicar práticas de segurança durante todo o ciclo de vida do software, não apenas após a codificação. Deixar para colocar segurança só no fim é um erro clássico!
III. Incorreta. O SDL NÃO elimina a necessidade de testes de penetração. Esses testes complementam o SDL, validando se as proteções realmente funcionam frente a ataques reais.

5. Estratégias de interpretação

Sempre desconfie de afirmações absolutas, como “somente após a codificação” ou “substitui totalmente a necessidade”. Esses termos costumam indicar erros, pois em segurança da informação as práticas são complementares e recorrentes.

Resumo final
Só a afirmação I está correta. O SDL preconiza pensar em segurança desde o início, principalmente com a modelagem de ameaças antes da codificação. As demais afirmações apresentam erros conceituais graves.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas