Foram encontradas 195.113 questões

Resolva questões gratuitamente!

Junte-se a mais de 4 milhões de concurseiros!

Q3781116 Banco de Dados
Um desenvolvedor inicia uma série de comandos DML (Data Manipulation Language) em uma sessão do SGBD.
Ele executou um UPDATE seguido de um DELETE. Após a execução, ele percebeu que o resultado da alteração estava incorreto e decidiu que as modificações feitas na sessão não deviam ser persistidas no banco de dados.
Assinale a opção que indica o comando SQL Transacional que o desenvolvedor deve executar para desfazer todas as modificações realizadas desde o início da transação na sessão atual, e a principal característica que define uma transação em andamento na regra ACID.
Alternativas
Q3781115 Banco de Dados
Em um banco de dados relacional (PostgreSQL), um administrador está projetando a tabela Vendas que armazena informações sobre transações. A integridade referencial com a tabela Clientes precisa ser garantida, e a combinação dos campos ID_Venda e Data_Venda deve garantir a unicidade de cada registro na tabela.
Assinale a opção que indica o tipo de chave que deve ser usada no campo que garante a integridade referencial com a tabela Clientes, e o tipo de chave que a combinação de ID_Venda e Data_Venda representa, garantindo a unicidade mínima e não redundante do registro.
Alternativas
Q3781114 Banco de Dados
A Controladoria possui vários pipelines críticos que transportam dados de regulamentação fiscal. Uma mudança no schema da tabela de origem exigiu alterações no código SQL de transformação e nos metadados associados. A prática de DataOps exige que todas as alterações sejam rastreáveis e que seja possível reverter o pipeline para uma versão anterior de forma atômica.
No contexto do DataOps, assinale a opção que apresenta a combinação de práticas e ferramentas que garante a rastreabilidade de

I. código de transformação (SQL/ETL);
II. alterações no schema do DW; e
III. rollback, coordenação automatizada, em caso de falha de deployment.
Alternativas
Q3781113 Sistemas de Informação
Em projetos de Business Intelligence (BI) modernos, a tendência é capacitar os usuários de negócio a explorar dados sem depender exclusivamente do time de TI ou de data scientists.
Assinale a opção que indica o conceito de BI que descreve a prática de fornecer ferramentas intuitivas e acesso direto aos dados para que os usuários de negócio possam criar seus próprios relatórios, dashboards e análises ad hoc, independentemente do time de TI.
Alternativas
Q3781112 Banco de Dados
Ao usar um serviço gerenciado de Banco de Dados Relacional em Nuvem (ex: AWS RDS ou Azure SQL Database), a arquitetura de Alta Disponibilidade (HA) é essencial para minimizar o downtime em caso de falha de infraestrutura.
Em um SGBD em nuvem configurado para Alta Disponibilidade Multi-AZ/Multi-Region, assinale a opção que indica o mecanismo de replicação e failover que permite a transição rápida para uma réplica em caso de falha da instância primária.
Alternativas
Q3781111 Banco de Dados
Uma consulta SQL que realiza múltiplos JOINs e filtros sobre tabelas grandes está apresentando lentidão.
As opções a seguir apresentam estratégias recomendadas para otimização, à exceção de uma. Assinale-a.
Alternativas
Q3781110 Banco de Dados
Sobre as características de bancos NoSQL, assinale a afirmativa correta.
Alternativas
Q3781109 Banco de Dados
No SQL Server, uma das práticas recomendadas para otimizar o desempenho de consultas complexas, é o uso de índices compostos. Considere a seguinte situação:
Uma tabela de vendas (Vendas) contém as colunas data_venda, id_cliente, valor_total. Deseja-se otimizar a consulta que filtra registros por id_cliente e ordena por data_venda.
Assinale a opção que indica a configuração de índice mais adequada.
Alternativas
Q3781108 Governança de TI
Em um contexto de Governança de Dados, o cumprimento da LGPD (Lei Geral de Proteção de Dados) é essencial. O papel de Data Steward é fundamental para garantir a conformidade e a qualidade dos dados.
No que tange à LGPD e à Qualidade de Dados em um ambiente de Data Governance, assinale a opção que indica a principal responsabilidade do Data Steward. 
Alternativas
Q3781107 Banco de Dados
Na modelagem de um Data Warehouse para análise de vendas, o arquiteto optou pela modelagem dimensional. A tabela central contém métricas (fato) e é conectada a diversas tabelas de dimensão (tempo, produto, cliente).
Assinale a opção que indica a principal técnica de modelagem dimensional utilizada, em que a tabela central armazena as métricas (o fato), e a desnormalização das tabelas de contexto (dimensões) é intencional para otimizar o desempenho das consultas OLAP. 
Alternativas
Q3781106 Segurança da Informação
Sobre as categorias de soluções de proteção, no contexto de segurança em ambientes cloud-native, avalie as afirmativas a seguir.

I. CWPP (Cloud Workload Protection Platform) é responsável pela análise de vulnerabilidades em imagens de contêineres armazenadas em registries e pelo escaneamento de código de infraestrutura (IaC) antes do deployment, não provendo proteção durante a execução (runtime) das workloads.

II. CSPM (Cloud Security Posture Management) identifica e corrige configurações inadequadas de recursos cloud através de avaliação contínua contra benchmarks de segurança e frameworks de compliance, focando em postura de segurança e misconfigurations como buckets públicos, criptografia desabilitada e security groups permissivos.

III. CNAPP (Cloud Native Application Protection Platform) unifica funcionalidades de CSPM e CWPP em uma plataforma única, adicionando capacidades como análise de IaC, segurança de APIs, CIEM (Cloud Infrastructure Entitlement Management) e correlação de eventos através do ciclo de vida completo de aplicações cloud-native.



Está correto o que se afirma em
Alternativas
Q3781105 Segurança da Informação
No contexto da segurança de sistemas de Inteligência Artificial, diversas técnicas de ataque e defesa foram desenvolvidas para lidar com vulnerabilidades específicas de modelos de Machine Learning.
Relacione os tipos de ataques e técnicas de segurança em IA apresentados a seguir, às suas respectivas características.

1. Adversarial Evasion Attack 2. Model Poisoning Attack 3. Model Extraction Attack 4. Adversarial Training

( ) Técnica defensiva que consiste em treinar o modelo utilizando exemplos adversariais junto com dados legítimos para aumentar a robustez do sistema contra perturbações maliciosas.

( ) Ataque realizado durante a fase de inferência, no qual entradas são sutilmente modificadas para induzir o modelo a classificações incorretas, mantendo-se imperceptíveis ao usuário humano.

( ) Ataque executado na fase de treinamento, no qual dados maliciosos são injetados no conjunto de dados de treinamento para comprometer o comportamento do modelo resultante.

( ) Ataque que visa replicar a funcionalidade de um modelo proprietário através de consultas sistemáticas, permitindo ao atacante obter uma cópia funcional sem acesso direto aos parâmetros originais.


Assinale a opção que indica a relação correta, segundo a ordem apresentada.
Alternativas
Q3781104 Segurança da Informação
Uma equipe identificou que um servidor web crítico foi comprometido por um atacante que explorou uma vulnerabilidade de aplicação. A análise inicial revelou que o atacante instalou uma webshell e está usando o servidor para movimentação lateral na rede. O servidor processa transações financeiras e está em produção atendendo clientes.
O analista de segurança precisa decidir a ação imediata mais adequada na fase de contenção do incidente, conforme boas práticas de resposta a incidentes (NIST SP 800-61 e ISO/IEC 27035).
Assinale a opção que apresenta a estratégia de contenção apropriada para esse cenário.
Alternativas
Q3781103 Segurança da Informação
No âmbito da ICP-Brasil, certificados digitais podem ser revogados antes do término da validade quando há comprometimento da chave privada.
Nesse contexto, assinale a opção que apresenta o mecanismo usado para verificar o estado de revogação de certificados digitais em tempo real.
Alternativas
Q3781102 Segurança da Informação
Considerando técnicas de testes de segurança em aplicações, analise as afirmativas a seguir.

I. SAST (Static Application Security Testing) pode identificar vulnerabilidades de lógica de negócio e falhas de autorização baseadas em contexto de execução, sendo mais efetivo que DAST para detectar quebras de controle de acesso horizontal (IDOR - Insecure Direct Object Reference).

II. IAST (Interactive Application Security Testing) utiliza instrumentação de código para correlacionar entrada de dados com fluxo de execução em runtime, reduzindo falsos positivos em comparação com SAST puro, mas introduzindo overhead de performance que pode inviabilizar uso em ambientes de produção.

III. Fuzzing (Fuzz Testing) é técnica eficaz para identificar vulnerabilidades de corrupção de memória (buffer overflow, use-after-free) em aplicações compiladas, mas tem limitação em detectar falhas de lógica de negócio que requerem sequências específicas de operações válidas.

IV. DAST (Dynamic Application Security Testing) consegue identificar todas as rotas e endpoints de uma API REST automaticamente por meio de spidering, sem necessidade de documentação OpenAPI/Swagger, sendo mais abrangente em cobertura de código que SAST.


Está correto o que se afirma em
Alternativas
Q3781101 Segurança da Informação
Soluções DLP (Data Loss Prevention) utilizam diferentes métodos para identificar e classificar dados sensíveis que precisam ser protegidos.
Assinale a opção que descreve corretamente o método de classificação de dados por “Exact Data Match” (EDM) em soluções DLP.
Alternativas
Q3781100 Segurança da Informação
No contexto da segurança de redes e aplicações corporativas, diferentes tipos de ataques requerem medidas de proteção específicas e adequadas às suas características técnicas.
Relacione os tipos de ataque listados a seguir, às suas respectivas medidas de proteção primárias.
1. Ransomware 2. Credential Stuffing 3. DNS Spoofing 4. Server-Side Request Forgery (SSRF)
( ) Implementar segmentação de rede com micro-segmentação, backup imutável (immutable backup) com retenção offline, EDR com detecção comportamental, e Application Control para bloquear executáveis não autorizados.

( ) Implementar DNSSEC (Domain Name System Security Extensions) para autenticação de respostas DNS, configurar resolvers DNS confiáveis, e utilizar DoH (DNS over HTTPS) ou DoT (DNS over TLS) para criptografar consultas.

( ) Implementar validação rigorosa de URLs de entrada, utilizar allowlist de destinos permitidos, restringir acesso de servidores a recursos internos através de firewalls internos, e sanitizar/validar todos os parâmetros que constroem requisições HTTP.

( ) Implementar rate limiting por IP e por conta de usuário, CAPTCHA após tentativas falhadas, monitoramento de credenciais vazadas em bases públicas (Have I Been Pwned), autenticação multifator (MFA), e detecção de anomalias baseada em geolocalização e dispositivos.


Assinale a opção que indica a relação correta na ordem apresentada.
Alternativas
Q3781099 Segurança da Informação
Um órgão público sofreu um ataque direcionado com a seguinte sequência de eventos:

• T0 (13:00): Funcionário do setor financeiro recebeu e-mail de phishing com documento Excel malicioso (.xlsm) que explorou macro habilitada.

• T1 (13:02): O Excel executou PowerShell ofuscado que baixou payload da segunda etapa de domínio legítimo comprometido (pastebin.com) via HTTPS.

• T2 (13:05): Payload injetou shellcode em processo legítimo (svchost.exe) por meio de process hollowing, estabelecendo persistência via registro do Windows (Run key).

• T3 (13:15): Atacante realizou credential dumping extraindo hashes NTLM da memória do LSASS usando técnica living-offthe-land (Mimikatz reflective injection).

• T4 (13:30): Movimentação lateral via PsExec para servidor de aplicação usando credenciais roubadas, sem exploração de vulnerabilidade.

• T5 (14:00): Exfiltração de 500MB de dados para servidor C2 externo via DNS tunneling, fragmentando dados em queries DNS aparentemente legítimas.


Com base nos eventos T0–T5, assinale a opção que indica a tecnologia adequada para identificar o padrão observado e sustentar a investigação e a contenção do incidente
Alternativas
Q3781098 Segurança da Informação
Uma equipe de segurança realizou uma varredura em infraestrutura crítica de comércio eletrônico e identificou as seguintes vulnerabilidades:

X: PHP 8.1.0 - CVE-2024-4577 (Argument Injection leading to RCE) | CVSS 9.8 (Crítica) | Exploit público (PoC no GitHub) | Servidor web exposto à Internet processando pagamentos | Patch disponível (atualização para 8.3.8);

Y: nginx 1.18.0 - CVE-2023-44487 (HTTP/2 Rapid Reset - DDoS) | CVSS 7.5 (Alta) | Exploit público, ataques em massa documentados | Servidor usa HTTP/2 para CDN e APIs | Mitigação via rate limiting disponível, patch requer atualização para 1.25.3;

W: Curl 7.68.0 - CVE-2023-38545 (SOCKS5 heap buffer overflow) | CVSS 9.8 (Crítica) | RCE potencial | Scripts internos de integração usam curl para comunicação com parceiros via proxy SOCKS5 | Servidor não exposto diretamente à Internet | Atualização para 8.4.0 disponível;

Z: OpenSSH 8.2p1 - CVE-2024-6387 (regreSSHion - Signal Handler Race Condition) | CVSS 8.1 (Alta) | RCE com exploit complexo (requer 6-8 horas) | SSH exposto apenas para equipe DevOps (10 IPs whitelisted, MFA habilitado) | Patch disponível (9.8p1).


Considerando as boas práticas de gestão de vulnerabilidades e a análise de risco contextual, assinale a opção que apresenta a priorização correta para remediação.
Alternativas
Q3781097 Segurança da Informação
Uma aplicação web corporativa está vulnerável aos ataques em que usuários maliciosos conseguem fazer a aplicação executar comandos arbitrários do sistema operacional por meio da manipulação de parâmetros que são passados diretamente para funções de execução de processos no servidor.
Este tipo de vulnerabilidade caracteriza-se como
Alternativas
Respostas
10661: D
10662: B
10663: A
10664: D
10665: E
10666: A
10667: D
10668: D
10669: E
10670: D
10671: D
10672: D
10673: C
10674: B
10675: C
10676: E
10677: A
10678: C
10679: B
10680: C