Julgue o item subsequente, relativo a WebServices, SonarQub...

Na verdade, o Sonar é uma ferramenta de análise estática (SAST)

E

Errado

De acordo com as informações fornecidas nos resultados de pesquisa, o SonarQube é uma ferramenta de SAST (Static Application Security Testing), ou seja, ele analisa o código-fonte da aplicação para detectar vulnerabilidades de segurança, e não utiliza DAST (Dynamic Application Security Testing).[1][2][3][4][5]

O SonarQube realiza uma análise estática do código-fonte, identificando problemas como bugs, code smells, vulnerabilidades de segurança, entre outros, sem a necessidade de executar a aplicação.[1][2][3][4][5]

Portanto, o item está errado ao afirmar que o SonarQube detecta vulnerabilidades de segurança por meio de DAST. O SonarQube utiliza SAST para identificar e reportar problemas de segurança no código-fonte antes da implantação da aplicação.[1][2][3][4][5]

Citations:

[1] https://blog.impulso.team/analise-qualitativa-de-codigo-com-sonarqube/

[2] https://repositorio.unifesp.br/server/api/core/bitstreams/8fddbe8c-b867-4fe1-a4f9-5ff963fcf450/content

[3] https://pt.linkedin.com/pulse/sast-sonarqube-vin%C3%ADcius-rodrigues-da-silva

[4] https://www.benner.com.br/tecnologia/2018/09/garantindo-qualidade-de-codigo-com-o-sonarqube/

[5] https://blog.4linux.com.br/analise-sast-com-sonarqube-devsecops/

O SonarQube é uma ferramenta de análise de código estática, conhecida como SAST (Static Application Security Testing). Ele analisa o código-fonte para encontrar vulnerabilidades, bugs, e problemas de qualidade antes que o código seja executado. Isso significa que o SonarQube examina o código de forma estática, sem executá-lo, para identificar problemas.

Por outro lado, o DAST (Dynamic Application Security Testing) envolve a análise de uma aplicação em execução para identificar vulnerabilidades que só podem ser detectadas em tempo de execução.

Portanto, a resposta correta é:

E Errado

O SonarQube não utiliza a abordagem de DAST (Dynamic Application Security Testing) para detectar vulnerabilidades de segurança no código-fonte. Na verdade, o SonarQube é uma ferramenta de análise estática de código (Static Application Security Testing - SAST), que realiza a verificação do código-fonte em busca de padrões, práticas ruins e vulnerabilidades conhecidas.

A diferença fundamental entre SAST e DAST está na maneira como cada um aborda a detecção de vulnerabilidades:

1. **SAST (Static Application Security Testing)**: Esta abordagem analisa o código-fonte ou o código compilado em busca de vulnerabilidades de segurança, problemas de qualidade de código e práticas de programação inseguras. O SonarQube é uma ferramenta SAST que realiza essa análise estática durante a fase de desenvolvimento, identificando potenciais vulnerabilidades antes que o código seja implantado ou executado.

2. **DAST (Dynamic Application Security Testing)**: Por outro lado, DAST examina uma aplicação em tempo de execução, interagindo com ela como um usuário externo. Isso significa que DAST verifica a aplicação em seu estado em execução, procurando por vulnerabilidades que possam ser exploradas através de interações externas, como ataques de injeção, cross-site scripting (XSS), entre outros.

Portanto, o SonarQube é mais apropriado para a detecção de vulnerabilidades e problemas no código-fonte antes da implementação, enquanto DAST é mais voltado para testes de segurança realizados em ambientes de produção ou em aplicações em tempo de execução.

Na verdade o SonarQube também nem seria um SAST, mas sim uma ferramenta de qualidade de código, pode ser usada no step de quality gate em uma pipeline por exemplo.

Existem várias ferramentas populares usadas para DAST, SAST e SCA no desenvolvimento seguro de software. Aqui estão algumas das principais:

• DAST: OWASP ZAP, Burp Suite, Acunetix, AppScan
• SAST: SonarQube, Checkmarx, Fortify Static Code Analyzer, Veracode
• SCA: Black Duck, Snyk, WhiteSource, OWASP Dependency-Check

Essas ferramentas são amplamente utilizadas na indústria para garantir que o software seja desenvolvido de maneira segura e que vulnerabilidades sejam identificadas e corrigidas em várias fases do ciclo de vida do desenvolvimento de software.

Errado.

O SonarQube é uma plataforma de análise de código estático que detecta vulnerabilidades de segurança, bugs e outros problemas de qualidade no código por meio de SAST (Static Application Security Testing). SAST analisa o código-fonte, bytecode ou binário de uma aplicação sem executá-la.

Alternativa correta: E - errado

Vamos entender por que a alternativa está incorreta.

O enunciado da questão menciona o SonarQube e afirma que ele detecta vulnerabilidades de segurança no código por meio de DAST (dynamic application security testing).

É importante esclarecer que o SonarQube é uma ferramenta de análise estática de código. Isso significa que ele realiza a análise do código-fonte sem executá-lo. As ferramentas de análise estática verificam o código em busca de padrões que possam indicar problemas como vulnerabilidades de segurança, bugs, e violações de padrões de codificação.

Por outro lado, o DAST (dynamic application security testing) é uma abordagem que envolve a análise de uma aplicação em execução. O DAST simula ataques contra a aplicação enquanto ela está sendo executada para identificar vulnerabilidades de segurança. Isso é diferente da análise estática feita pelo SonarQube.

Portanto, a afirmação de que o SonarQube utiliza DAST para detectar vulnerabilidades está incorreta. O SonarQube utiliza técnicas de análise estática de código, enquanto o DAST envolve a análise dinâmica da aplicação em execução.

Para resolver esta questão, é necessário ter um bom entendimento das diferentes abordagens de análise de segurança de software - análise estática e análise dinâmica - e saber qual ferramenta utiliza qual abordagem. O conhecimento específico sobre o SonarQube e suas funcionalidades é crucial para identificar que ele não utiliza DAST.

Em resumo, a alternativa correta é "E - errado" porque o SonarQube não usa técnicas de DAST para detectar vulnerabilidades de segurança no código. Em vez disso, ele utiliza análise estática para identificar possíveis problemas no código-fonte antes da implantação do aplicativo.