Julgue o item subsequente, relativo a WebServices, SonarQub...

Alternativa correta: E - errado

Vamos entender por que a alternativa está incorreta.

O enunciado da questão menciona o SonarQube e afirma que ele detecta vulnerabilidades de segurança no código por meio de DAST (dynamic application security testing).

É importante esclarecer que o SonarQube é uma ferramenta de análise estática de código. Isso significa que ele realiza a análise do código-fonte sem executá-lo. As ferramentas de análise estática verificam o código em busca de padrões que possam indicar problemas como vulnerabilidades de segurança, bugs, e violações de padrões de codificação.

Por outro lado, o DAST (dynamic application security testing) é uma abordagem que envolve a análise de uma aplicação em execução. O DAST simula ataques contra a aplicação enquanto ela está sendo executada para identificar vulnerabilidades de segurança. Isso é diferente da análise estática feita pelo SonarQube.

Portanto, a afirmação de que o SonarQube utiliza DAST para detectar vulnerabilidades está incorreta. O SonarQube utiliza técnicas de análise estática de código, enquanto o DAST envolve a análise dinâmica da aplicação em execução.

Para resolver esta questão, é necessário ter um bom entendimento das diferentes abordagens de análise de segurança de software - análise estática e análise dinâmica - e saber qual ferramenta utiliza qual abordagem. O conhecimento específico sobre o SonarQube e suas funcionalidades é crucial para identificar que ele não utiliza DAST.

Em resumo, a alternativa correta é "E - errado" porque o SonarQube não usa técnicas de DAST para detectar vulnerabilidades de segurança no código. Em vez disso, ele utiliza análise estática para identificar possíveis problemas no código-fonte antes da implantação do aplicativo.

Na verdade, o Sonar é uma ferramenta de análise estática (SAST)

E

Errado

De acordo com as informações fornecidas nos resultados de pesquisa, o SonarQube é uma ferramenta de SAST (Static Application Security Testing), ou seja, ele analisa o código-fonte da aplicação para detectar vulnerabilidades de segurança, e não utiliza DAST (Dynamic Application Security Testing).[1][2][3][4][5]

O SonarQube realiza uma análise estática do código-fonte, identificando problemas como bugs, code smells, vulnerabilidades de segurança, entre outros, sem a necessidade de executar a aplicação.[1][2][3][4][5]

Portanto, o item está errado ao afirmar que o SonarQube detecta vulnerabilidades de segurança por meio de DAST. O SonarQube utiliza SAST para identificar e reportar problemas de segurança no código-fonte antes da implantação da aplicação.[1][2][3][4][5]

Citations:

[1] https://blog.impulso.team/analise-qualitativa-de-codigo-com-sonarqube/

[2] https://repositorio.unifesp.br/server/api/core/bitstreams/8fddbe8c-b867-4fe1-a4f9-5ff963fcf450/content

[3] https://pt.linkedin.com/pulse/sast-sonarqube-vin%C3%ADcius-rodrigues-da-silva

[4] https://www.benner.com.br/tecnologia/2018/09/garantindo-qualidade-de-codigo-com-o-sonarqube/

[5] https://blog.4linux.com.br/analise-sast-com-sonarqube-devsecops/

O SonarQube é uma ferramenta de análise de código estática, conhecida como SAST (Static Application Security Testing). Ele analisa o código-fonte para encontrar vulnerabilidades, bugs, e problemas de qualidade antes que o código seja executado. Isso significa que o SonarQube examina o código de forma estática, sem executá-lo, para identificar problemas.

Por outro lado, o DAST (Dynamic Application Security Testing) envolve a análise de uma aplicação em execução para identificar vulnerabilidades que só podem ser detectadas em tempo de execução.

Portanto, a resposta correta é:

E Errado

O SonarQube não utiliza a abordagem de DAST (Dynamic Application Security Testing) para detectar vulnerabilidades de segurança no código-fonte. Na verdade, o SonarQube é uma ferramenta de análise estática de código (Static Application Security Testing - SAST), que realiza a verificação do código-fonte em busca de padrões, práticas ruins e vulnerabilidades conhecidas.

A diferença fundamental entre SAST e DAST está na maneira como cada um aborda a detecção de vulnerabilidades:

1. **SAST (Static Application Security Testing)**: Esta abordagem analisa o código-fonte ou o código compilado em busca de vulnerabilidades de segurança, problemas de qualidade de código e práticas de programação inseguras. O SonarQube é uma ferramenta SAST que realiza essa análise estática durante a fase de desenvolvimento, identificando potenciais vulnerabilidades antes que o código seja implantado ou executado.

2. **DAST (Dynamic Application Security Testing)**: Por outro lado, DAST examina uma aplicação em tempo de execução, interagindo com ela como um usuário externo. Isso significa que DAST verifica a aplicação em seu estado em execução, procurando por vulnerabilidades que possam ser exploradas através de interações externas, como ataques de injeção, cross-site scripting (XSS), entre outros.

Portanto, o SonarQube é mais apropriado para a detecção de vulnerabilidades e problemas no código-fonte antes da implementação, enquanto DAST é mais voltado para testes de segurança realizados em ambientes de produção ou em aplicações em tempo de execução.

Na verdade o SonarQube também nem seria um SAST, mas sim uma ferramenta de qualidade de código, pode ser usada no step de quality gate em uma pipeline por exemplo.