A respeito de ciclo de vida de desenvolvimento seguro, julgu...

Vamos analisar a questão sobre o ciclo de vida de desenvolvimento seguro e justificar a alternativa correta.

Gabarito: E

Na questão, é afirmado que na fase de suporte e manutenção deve ser estabelecido um time ou grupo responsável por respostas a incidentes de segurança. Entretanto, essa afirmação está errada, e vou explicar o porquê.

O ciclo de vida de desenvolvimento seguro (Secure Development Lifecycle - SDL) é uma metodologia que integra práticas de segurança em cada fase do desenvolvimento de software. É essencial entender as diversas fases do SDL para compreender onde cada atividade de segurança se encaixa. As principais fases do SDL incluem:

• Planejamento e Requisitos: Definição de requisitos de segurança e análise de risco.
• Projeto: Desenho arquitetural seguro e modelagem de ameaças.
• Implementação: Codificação segura e uso de ferramentas de verificação automática.
• Verificação: Testes de segurança, como análise estática e dinâmica de código.
• Implantação: Preparativos para a liberação segura do software.
• Suporte e Manutenção: Atualizações, correções de segurança e respostas a incidentes.

Notemos que a fase de suporte e manutenção é focada em manter a segurança do software no ambiente de produção, realizando atualizações e aplicando patches de segurança conforme necessário. No entanto, o estabelecimento de um time dedicado para respostas a incidentes de segurança é uma prática que deve estar presente desde a fase inicial de planejamento e requisitos, passando por todas as fases do ciclo de vida.

Dessa forma, a alternativa está incorreta porque limita a criação do time de resposta a incidentes apenas à fase de suporte e manutenção, quando na realidade, o time deve estar preparado e envolvido durante todo o ciclo de vida do desenvolvimento seguro.

A correta abordagem é entender que a segurança deve ser uma preocupação contínua e integrada em todas as etapas do desenvolvimento, e não apenas na fase final de suporte e manutenção.

Espero que esta explicação tenha clarificado o motivo pelo qual a alternativa está errada e a importância de um ciclo de vida de desenvolvimento seguro.

O SDLC é composto por várias fases, cada uma com suas próprias atividades e tarefas de segurança específicas. As fases típicas do SDLC incluem:

• Análise de requisitos: Nesta fase, os requisitos de segurança são identificados e documentados.
• Design: Nesta fase, os requisitos de segurança são implementados no design do software.
• Implementação: Nesta fase, o software é desenvolvido e implantado.
• Teste: Nesta fase, o software é testado para vulnerabilidades de segurança.
• Deploy: Nesta fase, o software é disponibilizado para os usuários.
• Manutenção: Nesta fase, o software é atualizado e mantido.

O SDLC é uma abordagem eficaz para o desenvolvimento de software seguro. Ao integrar a segurança em todas as fases do ciclo de vida, o SDLC ajuda a garantir que o software seja seguro desde o início.

Alguns feelings de questões da cespe:

Nessa eu pensei assim, se já está rolando o Suporte e a Manutenção - já tenho o produto ou vendi.

Montar a equipe nessa parte pode ser tarde, tinha que ser feito antes, no desenvolvimento.