A respeito de DevSecOps e de técnicas de análise de desempen...

Gabarito: C - certo

O DevSecOps é uma filosofia de integração da segurança em todas as fases do ciclo de vida de desenvolvimento de software. A ideia central é que, ao invés de tratar a segurança como um aspecto que é apenas conferido após o desenvolvimento estar completo (um "perímetro" em torno da aplicação), a segurança deve ser uma preocupação contínua e integrada desde o início do processo de desenvolvimento. Isso significa que desenvolvedores, operações e profissionais de segurança trabalham de forma colaborativa para incorporar práticas de segurança em todas as etapas, desde o planejamento e a codificação até a implantação e a manutenção.

Um aspecto importante do DevSecOps é a análise das cadeias de fornecimento de software. Isso inclui a identificação de riscos associados a componentes de terceiros, bibliotecas e outros softwares que são integrados ao produto final. A preocupação com esses riscos é crítica, visto que vulnerabilidades em componentes de terceiros podem ser exploradas para comprometer toda a aplicação.

A alternativa está correta porque reflete a filosofia do DevSecOps de que a segurança não é apenas uma camada externa aplicada após o desenvolvimento, mas sim uma componente essencial integrada ao ciclo de vida do desenvolvimento de software, incluindo a análise proativa de riscos ao longo da cadeia de fornecimento.

Para entender e resolver a questão, é necessário ter conhecimento sobre as práticas de DevSecOps, a importância da segurança integrada no ciclo de desenvolvimento de software e os riscos associados a dependências externas e à cadeia de fornecimento de software.

✍ GABARITO(Errado) ✅

DevSecOps trata de segurança integrada, e não da segurança que funciona no perímetro em torno de aplicativos e dados.

• A segurança tradicional, muitas vezes chamada de segurança perimetral, concentra-se em proteger os sistemas e dados de ameaças externas. Isso pode ser feito usando firewalls, proxies, IPS/IDS e outras tecnologias.

A segurança integrada, por outro lado, considera a segurança em todas as etapas do ciclo de vida do software. Isso inclui:

• Segurança de código: A segurança é considerada desde o início do processo de desenvolvimento, e não apenas no final.
• Segurança de implantação: Os aplicativos são implantados com segurança, usando práticas como a segmentação de rede e a criptografia.
• Segurança de dados: Os dados são protegidos, usando práticas como a autenticação, a autorização e a criptografia.
• Segurança de operações: Os aplicativos são operados com segurança, usando práticas como o monitoramento e a resposta a incidentes.

A segurança integrada também inclui a identificação dos riscos que estão envolvidos na cadeia de fornecimento do software. A cadeia de fornecimento do software inclui todos os processos e pessoas envolvidos no desenvolvimento, implantação e operação de software.

Ao considerar a segurança em todas as etapas do ciclo de vida do software e na cadeia de fornecimento do software, DevSecOps pode ajudar a reduzir o risco de ataques cibernéticos.

Errado.

DevSecOps significa pensar na segurança da aplicação e da infraestrutura desde o início. Também significa automatizar algumas barreiras de segurança para evitar que o fluxo de trabalho de DevOps fique lento.

Fonte: https://www.redhat.com/pt-br/topics/devops/what-is-devsecops

Sim, está correto. O conceito de DevSecOps, que é uma extensão do DevOps, coloca um foco significativo na integração de práticas de segurança ao longo de todo o ciclo de vida do desenvolvimento de software. Ao contrário das abordagens tradicionais de segurança, que tendem a se concentrar em medidas de perímetro (como firewalls) e controles pós-desenvolvimento, o DevSecOps visa incorporar a segurança desde o início do processo de desenvolvimento até a produção.



Questão confusa... O pronome "a qual" se refere a o quê? Segurança integrada ou segurança que funciona no perímetro??

A afirmação está correta. O DevSecOps busca incorporar a segurança diretamente no processo de desenvolvimento e entrega de software, considerando a segurança em cada etapa do ciclo de vida e integrando práticas e ferramentas de segurança desde o início. Diferente da abordagem de segurança de perímetro, que atua na borda para proteger os aplicativos e dados, o DevSecOps envolve a identificação e mitigação de riscos internos, incluindo aqueles associados à cadeia de fornecimento do software (como bibliotecas de terceiros e dependências), garantindo uma abordagem proativa e contínua.

O DevSecOps trata de segurança integrada, e não de segurança que funciona como um perímetro em torno de apps e dados. Se a segurança permanecer no final do pipeline de dados de desenvolvimento, as organizações que adotam o DevOps podem acabar voltando para os longos ciclos de desenvolvimento que estavam tentando evitar.