A respeito de ciclo de vida de desenvolvimento seguro, julgu...

testes de segurança é outra fase desse ciclo de vida do desenvolvimento seguro

GPT-4: Na fase de implementação de um ciclo de vida de desenvolvimento seguro, a aplicação de testes de segurança é uma prática importante, mas também é comum utilizar soluções para análise de código, como ferramentas de análise estática de código (Static Application Security Testing - SAST). Essas ferramentas examinam o código-fonte em busca de vulnerabilidades de segurança antes mesmo da execução dos testes, identificando problemas potenciais no código, como falhas de segurança, uso inadequado de funções, entre outros.

Portanto, na fase de implementação, é comum empregar tanto testes de segurança quanto soluções de análise de código para garantir que o software seja desenvolvido de maneira segura desde o início do processo de desenvolvimento.

Como se faz testes de segurança sem o uso de soluções para análise? Errado.

A fase de Implementação abrange:

• desenvolvimento de código novo;
• correção de bugs;
• teste e verificação do código.

Porém a questão erra ao afirmar que os testes são sem o uso de soluções (ferramentas) de análise de código.

Uma leitura atenta já percebia o erro.

Alternativa Correta: Errado (E)

A questão aborda o ciclo de vida de desenvolvimento seguro, um conceito fundamental na segurança da informação. Este ciclo descreve as fases pelas quais um software ou sistema passa para garantir que ele atenda a requisitos de segurança desde a concepção até o descomissionamento.

Vamos entender melhor cada fase do ciclo de vida de desenvolvimento seguro:

1. Planejamento e Definição de Requisitos: Nesta fase, são estabelecidos os requisitos de segurança que o software deve atender. É fundamental considerar ameaças potenciais e definir medidas preventivas.

2. Projeto: Aqui, são criadas as especificações detalhadas de como o software funcionará. A segurança deve ser considerada no desenho da arquitetura e na escolha das tecnologias.

3. Implementação: Nesta fase, o código é escrito. A aplicação de testes de segurança e a revisão de código são cruciais para identificar e corrigir vulnerabilidades. Contrário ao que a questão sugere, a análise de código, incluindo o uso de ferramentas automáticas para verificação de segurança, é uma prática comum e recomendada.

4. Testes: Antes do software ser liberado, ele deve ser exaustivamente testado. Isso inclui testes funcionais e de segurança, como testes de penetração, para garantir que não haja vulnerabilidades.

5. Implantação: A fase de colocação do software em produção. Procedimentos de segurança devem assegurar que a implantação seja feita de forma segura.

6. Manutenção: Após a implantação, o software deve ser monitorado e mantido. A segurança continua sendo uma prioridade, com atualizações e patches sendo aplicados conforme necessário.

Justificativa para a alternativa correta:

A alternativa está correta ao ser classificada como Errado (E) porque a fase de implementação no ciclo de vida de desenvolvimento seguro contempla, sim, o uso de soluções para análise de código. Ferramentas de análise estática e dinâmica são frequentemente utilizadas para identificar e mitigar vulnerabilidades no código.

Conclusão:

Entender cada fase do ciclo de vida de desenvolvimento seguro e as práticas recomendadas em cada uma delas é essencial para garantir que o software seja desenvolvido com a devida preocupação com a segurança. Fique atento às boas práticas de segurança em todas as fases do desenvolvimento!