Em aderência ao arcabouço SAMM da OWASP, o plano deve promo...

Alternativa correta: C

A questão aborda a metodologia OWASP (Open Web Application Security Project) e mais especificamente o OWASP Software Assurance Maturity Model (SAMM) ou OpenSAMM. Esta metodologia é amplamente utilizada para garantir a segurança no desenvolvimento de software. Para entender melhor a questão, é importante compreender o que é o OWASP SAMM e como ele se aplica no contexto de desenvolvimento seguro de software.

O OWASP SAMM é um modelo de maturidade que oferece um framework estruturado para avaliar a segurança no desenvolvimento de software e implementar práticas de segurança em uma organização. Ele se baseia em quatro funções principais:

1. Governança: Esta função se refere à definição e manutenção das políticas e procedimentos de segurança dentro da organização. Inclui a gestão de riscos, conformidade com regulações e a definição de métricas e KPIs (Key Performance Indicators).

2. Construção: Engloba todas as atividades relacionadas ao desenvolvimento e design de software seguro. Isso inclui a integração de práticas de segurança durante a fase de codificação e o uso de arquiteturas seguras.

3. Verificação: Esta função cobre a validação e teste do software para assegurar que ele esteja livre de vulnerabilidades e defeitos de segurança. Inclui análise de vulnerabilidades, revisões de código e testes de invasão (pentests).

4. Implantação (Deployment): Refere-se à distribuição e manutenção do software em um ambiente de produção seguro. Inclui a gestão de patches, monitoramento e resposta a incidentes de segurança.

Para cada uma dessas funções, o OWASP SAMM prescreve três práticas de segurança que devem ser adotadas para tornar o processo de desenvolvimento mais seguro. Portanto, a questão está correta ao afirmar que o plano deve promover um processo de desenvolvimento seguro baseado na adoção de práticas de segurança para essas quatro funções.

Justificativa para a alternativa C: A alternativa está correta porque descreve exatamente como o OWASP SAMM estrutura suas práticas de segurança nas quatro funções principais: governança, construção, verificação e implantação. Cada função possui três práticas prescritas, o que está de acordo com o modelo de maturidade do SAMM.

Conclusão: Compreender o OWASP SAMM e suas quatro funções com três práticas cada é essencial para garantir a segurança no desenvolvimento de software. A alternativa correta (C) reflete precisamente essa estrutura, confirmando a adesão ao arcabouço SAMM da OWASP.

OpenSAMM: o que é e para que serve? 
O SAMM é um framework aberto para ajudar as organizações a formular e implementar uma estratégia para a segurança de software. Após o seu lançamento ele foi integrado a OWASP (Open Web Application Security Project) que ficou conhecido como Open SAMM.

O Open SAMM especifica quatro funções de negócios críticos, cada um com três práticas de segurança, são elas: 

Governança: são as atividades da gerência, que seria examinar os grupos de desenvolvimento e também gerenciar os níveis dos negócios estabelecidos pela empresa. 
  1- Estratégia e Métricas: Definição da estratégia que será utilizada para a garantia de software ou seja criar definições de metas de segurança e também estudar os riscos da empresa.  
  2- Políticas e Conformidade: Entender as diretrizes/políticas e regulamentá-las nos padrões de seguranças, também fazer auditorias para descobrir se algum projeto não está dentro das expectativas.  
 3- Orientação e Educação: Ensinar as pessoas que estão envolvidas no desenvolvimento do software como desenvolver e implementar um software mais seguro, o OpenSAMM também indica que uma boa alternativa para melhorar o desempenho é através de objetivos para cada funcionário. 

Construção: definir metas e criar os software dentro dos padrões. Isso inclui o gerenciamento do produto, a especificação do nível da arquitetura, design e implementação. .
   1- Modelagem de Ameaças: Identificar e entender os níveis de risco na funcionalidade do software no ambiente em que ele será executado, a partir dos detalhes conseguidos ficara mais fácil tomar decisões.  
   2- Requisitos de Segurança: Definir qual será o comportamento esperado a respeito da segurança do software, definindo cada processo por níveis e fazer auditorias para garantir que todas as especificações de segurança estão sendo utilizadas.  
   3- Arquitetura Segura: Projetar softwares seguros por padrões, reutilizando os componentes assim os riscos de segurança do software serão drasticamente reduzidos.  

Fonte: http://blog.conviso.com.br/opensamm-o-que-e-e-para-que-serve/

Continuando:

Verificação: verificações e testes nos produtos durante o desenvolvimento do software, garantindo uma boa qualidade do software.  
   1- Revisão de Arquitetura: Avaliar a segurança da arquitetura do software, permitindo assim detectar problemas logo no inicio. Quando se resolve o problema no inicio se reduz também o tempo e dinheiro que seria gasto a procura desse problema.  
   2- Revisão de Código: Inspecionar os códigos fontes a fim de encontrar potenciais falhas no software que ocorreu no desenvolvimento. O Code Review seria uma revisão mais profunda já que na hora do desenvolvimento também acontece algumas revisões, outra função é estabelecer uma base para uma codificação mais segura.  
  3- Testes de Segurança: Testar o software a procura de vulnerabilidades, para garantir que os resultados serão os esperados quando estiver em execução, basicamente seria a fase de teste a procura de qualquer tipo de erro.  

Implantação: gerenciar a liberação do software, ou seja, essa função serve para saber se o produto vai chegar de acordo com o que foi especificado para o usuário final.  
   1- Gerenciamento de Vulnerabilidades: Gerenciar os relatórios de vulnerabilidades e incidentes operacionais ganhando assim uma base de dados dos problemas que já ocorreu, se por acaso acontecer novamente ficará mais fácil resolver.  
   2- Proteção de Ambiente: Garantir que o software será executado corretamente no ambiente de produção, reforçar a segurança da infraestrutura e implementar atualizações de segurança.  
   3- Capacitação Operacional: Procurar todo tipo de informação que possa afetar a segurança do software e comunicar aos desenvolvedores, assim detalhando os impactos que possam ocorrer para os usuários e operadores. 

Fonte: http://blog.conviso.com.br/opensamm-o-que-e-e-para-que-serve/

Classificação de Risco para o Top 10 é uma metodologia baseada na OWASP Risk Rating Methodology e consiste em estimar, para cada categoria do Top 10, o risco peculiar que cada falha introduz em uma aplicação web típica e, posteriormente, ordenar o Top 10 de acordo com as falhas que tipicamente introduzem o risco mais significativo para uma aplicação.

Lembrando que essa definição do texto se refere à primeira versão do OpenSAMM. Quem estiver estudando pela versão atualizada (2.0) vai errar a questão que nem eu, porque foi acrescentada uma quinta função (implementação)

https://owaspsamm.org/release-notes-v2/

Governança, construção, verificação, implantação (deployment) e implementação!