Sobre o ciclo de desenvolvimento seguro de aplicações, assin...

A alternativa correta é: C - V, F, V.

Para entender completamente a questão, vamos abordar cada afirmativa e explicar o porquê de ser verdadeira ou falsa.

( ) Uma das práticas definidas pelo modelo SDL da Microsoft é a modelagem de ameaças.

Esta afirmativa é verdadeira. O ciclo de desenvolvimento seguro da Microsoft, conhecido como SDL (Security Development Lifecycle), inclui práticas que visam aumentar a segurança das aplicações desde o início do desenvolvimento. Uma dessas práticas é a modelagem de ameaças, que consiste em identificar, quantificar e mitigar possíveis ameaças à segurança durante a fase de design do software.

( ) Uma análise estática de segurança (SAST) exige que a aplicação já esteja em funcionamento.

Essa afirmativa é falsa. A SAST (Static Application Security Testing) é uma técnica de análise de segurança que examina o código-fonte, bytecode ou binários de uma aplicação sem executá-la. Ou seja, a aplicação não precisa estar em funcionamento para que a análise estática possa ser realizada. Esta técnica é utilizada para identificar vulnerabilidades presentes no código durante as fases iniciais do desenvolvimento.

( ) O conserto de vulnerabilidades descobertas por meio de análise dinâmica de segurança (DAST) costuma custar mais caro do que aquelas descobertas no início do ciclo de desenvolvimento.

Esta afirmativa é verdadeira. A DAST (Dynamic Application Security Testing) envolve a análise de uma aplicação em execução para identificar vulnerabilidades que só se manifestam durante sua operação. Geralmente, corrigir vulnerabilidades encontradas em uma fase mais avançada do ciclo de desenvolvimento, ou após a aplicação estar em produção, tende a ser mais caro e complexo do que se essas falhas fossem descobertas e corrigidas nas fases iniciais, como durante o design ou a codificação.

Vamos revisar as alternativas incorretas:

A - F, F, V: Incorreta porque a primeira afirmativa é verdadeira.

B - F, V, V: Incorreta porque a primeira afirmativa é verdadeira.

D - V, V, F: Incorreta porque a segunda afirmativa é falsa.

E - F, V, F: Incorreta porque a primeira afirmativa é verdadeira.

Espero que esta explicação tenha ajudado a entender melhor o ciclo de desenvolvimento seguro de aplicações e a análise de vulnerabilidades. Caso tenha mais alguma dúvida, estou à disposição!

(V) Uma das práticas definidas pelo modelo SDL da Microsoft é a modelagem de ameaças.

Conforme o próprio site da Microsoft, a modelagem de ameaças é um prática do modelo SDL presente na etapa de Design. Logo alternativa Verdadeira.

(F) Uma análise estática de segurança (SAST) exige que a aplicação já esteja em funcionamento.

O termo SAST vem de Static Application Security Testing (Software estático de teste de segurança de aplicativos). Como o próprio nome já diz, trata-se de um teste estático, realizado no código-fonte da aplicação. Dessa, não há nenhuma exigência de que o programa esteja em funcionamento. Alternativa Falsa.

(V) O conserto de vulnerabilidades descobertas por meio de análise dinâmica de segurança (DAST) costuma custar mais caro do que aquelas descobertas no início do ciclo de desenvolvimento.

DAST, ou  Dynamic Application Security Testing (Software dinâmico de teste de segurança de aplicativos) é um modelo de testes "Caixa-Preta", realizado com a aplicação já em funcionamento. Nesse modelo, o profissional de testes simula invasões com a aplicação em tempo de execução. Pelo fato da aplicação já está construida e efetivamente rodando, vulnerabilidades nessa etapa podem causar um estrago maior do que as encontradas ainda no início do desenvolvimento. Dessa forma, alternativa Verdadeira.

Fontes:

https://docs.microsoft.com/pt-br/windows/security/threat-protection/msft-security-dev-lifecycle

https://www.nova8.com.br/2020/07/o-que-e-sast-e-dast/#:~:text=E%20o%20SAST%20%E2%80%93%20Static%20Application,de%20impedir%20os%20principais%20problemas.

A ultima dava pra responder pela noção. Consertar qualquer coisa é mais caro do que planejar . É pra isso que existe o planejamento de qualquer coisa.