A respeito de ciclo de vida de desenvolvimento seguro, julgu...

Gab: Errado.

Após mais de 30K de questões em 220 dias seguidos peguei alguns feelings de questões da cespe.

Nessa eu pensei assim, se já está rolando o Suporte e a Manutenção - já tenho o produto ou vendi.

Montar a equipe nessa parte pode ser tarde, tinha que ser feito antes, no desenvolvimento.

O ciclo de vida de desenvolvimento seguro de softwares (SDLC) é uma abordagem para o desenvolvimento de software que incorpora a segurança desde as fases iniciais do processo. O SDLC visa identificar e mitigar riscos de segurança ao longo de todo o ciclo de vida do software, desde a concepção até a manutenção.

O SDLC é composto por várias fases, cada uma com suas próprias atividades e tarefas de segurança específicas. As fases típicas do SDLC incluem:

• Análise de requisitos: Nesta fase, os requisitos de segurança são identificados e documentados.
• Design: Nesta fase, os requisitos de segurança são implementados no design do software.
• Implementação: Nesta fase, o software é desenvolvido e implantado.
• Teste: Nesta fase, o software é testado para vulnerabilidades de segurança.
• Deploy: Nesta fase, o software é disponibilizado para os usuários.
• Manutenção: Nesta fase, o software é atualizado e mantido.

O SDLC é uma abordagem eficaz para o desenvolvimento de software seguro. Ao integrar a segurança em todas as fases do ciclo de vida, o SDLC ajuda a garantir que o software seja seguro desde o início.

Aqui estão alguns benefícios do SDLC:

• Reduz o risco de vulnerabilidades de segurança: O SDLC ajuda a identificar e mitigar riscos de segurança ao longo de todo o ciclo de vida do software.
• Melhora a qualidade do software: O SDLC ajuda a garantir que o software seja seguro, confiável e de alta qualidade.
• Reduz os custos de desenvolvimento e manutenção: O SDLC ajuda a evitar problemas de segurança que podem levar a recalls, reparos e outros custos.

O SDLC é uma ferramenta importante para o desenvolvimento de software seguro. Ao seguir o SDLC, as organizações podem reduzir o risco de vulnerabilidades de segurança e melhorar a qualidade do software.

Aqui estão alguns comentários específicos sobre o SDLC:

• É uma abordagem holística: O SDLC considera a segurança em todas as fases do ciclo de vida do software, desde a concepção até a manutenção.
• É adaptável: O SDLC pode ser adaptado para atender às necessidades específicas de uma organização.
• É essencial para o desenvolvimento de software seguro: O SDLC é uma ferramenta importante para organizações que desejam desenvolver software seguro.

FONTE: BARD IA

Sim, na fase de suporte e manutenção de um software, é recomendável estabelecer um time ou grupo responsável por lidar com respostas a incidentes de segurança. Esse time é muitas vezes chamado de Equipe de Resposta a Incidentes de Segurança (CSIRT, do inglês Computer Security Incident Response Team) ou SOC (Security Operations Center).

A equipe de resposta a incidentes de segurança tem como objetivo detectar, responder e mitigar incidentes de segurança que possam ocorrer após a implantação do software. Suas responsabilidades podem incluir:

1. Monitoramento Contínuo: Monitorar ativamente o ambiente para identificar possíveis incidentes de segurança.
2. Investigação de Incidentes: Investigar e analisar incidentes de segurança para entender a natureza e a extensão do problema.
3. Resposta Rápida: Agir rapidamente para conter e mitigar os impactos dos incidentes de segurança.
4. Comunicação: Comunicar de forma eficaz com as partes interessadas, incluindo usuários, desenvolvedores e gerentes, sobre incidentes de segurança e medidas tomadas.
5. Aprendizado Contínuo: Realizar análises pós-incidentes para aprender com as ocorrências e melhorar continuamente as práticas de segurança.

fonte: gpt

Aqui estão os trechos das fontes mencionadas que destacam a importância de ter uma equipe de resposta a incidentes de segurança durante a fase de suporte e manutenção:

NIST SP 800-61:

A publicação "Computer Security Incident Handling Guide" do NIST discute a importância de ter uma equipe de resposta a incidentes:

"An incident response capability should include procedures for analyzing incident-related data and determining the appropriate response to each incident. Organizations should establish an incident response team and ensure that it is properly trained and equipped to handle incidents effectively."

Microsoft Secure Development Lifecycle (SDL):

O SDL da Microsoft destaca a necessidade de um plano de resposta a incidentes e equipes preparadas:

"Response Plans. The response plan includes roles and responsibilities for an incident response team, communication procedures, and a post-incident review process to ensure continuous improvement. The goal is to minimize damage and ensure the continuity of operations during and after an incident."

SANS Institute - SANS Incident Handler’s Handbook:

O SANS Incident Handler’s Handbook recomenda a preparação e a definição de responsabilidades para a resposta a incidentes:

"The organization should establish and train a computer security incident response team (CSIRT) to handle potential incidents. The team should be prepared to detect, respond to, and recover from incidents while maintaining detailed documentation for further analysis and improvement."

Esses trechos ilustram a recomendação de estabelecer uma equipe de resposta a incidentes de segurança para lidar com incidentes de forma eficaz durante a fase de suporte e manutenção do ciclo de vida de desenvolvimento seguro.

A alternativa correta é E - Errado.

Vamos entender o porquê:

Ciclo de vida de desenvolvimento seguro é um conjunto de práticas e processos incorporados ao ciclo de desenvolvimento de software com o objetivo de garantir que a segurança esteja presente em todas as fases, desde a concepção até a manutenção.

Uma das fases importantes desse ciclo é a Fase de Suporte e Manutenção. Nessa fase, o software já foi desenvolvido e está em uso, mas continua sendo atualizado e corrigido quando necessário.

A afirmação na questão sugere que, nesta fase, deve ser estabelecido um time ou grupo responsável por respostas a incidentes de segurança. No entanto, esta informação está incorreta. Vejamos o motivo:

Na verdade, a responsabilidade por respostas a incidentes de segurança não é algo que se inicia apenas na fase de Suporte e Manutenção. Essa responsabilidade deve ser estabelecida desde o início do ciclo de vida do desenvolvimento seguro. A equipe de segurança deve estar envolvida em todas as fases do ciclo de vida para garantir que as práticas de segurança sejam implementadas desde a concepção até a colocação em produção e além.

Portanto, a ideia de formar um time de resposta a incidentes apenas na fase de suporte e manutenção é incompleta e inadequada. O ciclo de vida do desenvolvimento seguro requer uma abordagem contínua e integrada de segurança.

Espero que esta explicação tenha ajudado a entender a questão e por que a alternativa correta é Errado. Se precisar de mais esclarecimentos sobre este ou outros temas, estou à disposição!