Engenharia Múltipla Escolha

Considere que uma equipe esteja trabalhando num software web com severas restrições de segurança. Além dos desenvolvedores e analistas, essa equipe conta com profissionais especialistas em segurança que têm, entre outras atribuições, a responsabilidade de realizar a revisão dos códigos a fim de evitar vulnerabilidades. Se durante a etapa de desenvolvimento um revisor da equipe de segurança detectar uma vulnerabilidade, é sua responsabilidade:

Considere que uma equipe esteja trabalhando num software web com severas restrições de segurança. Além dos desenvolvedores e analistas, essa equipe conta com profissionais especialistas em segurança que têm, entre outras atribuições, a responsabilidade de realizar a revisão dos códigos a fim de evitar vulnerabilidades. Se durante a etapa de desenvolvimento um revisor da equipe de segurança detectar uma vulnerabilidade, é sua responsabilidade:

  1. Corrigir a vulnerabilidade, contactando os desenvolvedores que programaram o trecho de código vulnerável.
  2. Separar a vulnerabilidade e alertar a equipe de segurança para que o problema seja resolvido.
  3. Separar a vulnerabilidade, tratando o código com erro como mais um problema que requer correção.
  4. Isolar o problema e solicitar que a equipe de desenvolvimento corrija a vulnerabilidade imediatamente.
  5. Corrigir o problema e relatar a vulnerabilidade à equipe de segurança.

Resolução completa

Explicação passo a passo

D
Alternativa D

Alternativa D

A questão aborda as melhores práticas de Segurança do Desenvolvimento de Software (DevSecOps) e a importância da segregação de funções.

Desenvolvimento:

Quando um revisor de segurança detecta uma vulnerabilidade durante o processo de desenvolvimento, o objetivo principal é garantir que o código não progrida para etapas posteriores (como homologação ou produção) com falhas conhecidas.

O fluxo ideal segue estes princípios:

  • Responsabilidade do Código: Quem escreve o código (desenvolvedor) deve ser o responsável por corrigi-lo. Isso garante que ele compreenda o contexto da lógica de negócio e evite introduzir novos erros ao tentar consertar a falha.
  • Segregação de Funções: O especialista em segurança atua como um auditor ou guardião. Sua função é identificar riscos e validar correções, não necessariamente executar a alteração no código fonte original.
  • Contenção de Risco: A ação de "isolar o problema" impede que o código vulnerável seja mesclado (merged) ou implantado enquanto não estiver seguro.

## Análise

  • Alternativa A (Incorreta): Sugere que o revisor corrija o código. Embora possível em situações de emergência, isso viola o princípio de que o desenvolvedor deve manter a responsabilidade sobre suas alterações e aprendizado.
  • Alternativa B (Incorreta): Como o revisor já pertence à equipe de segurança, alertar a própria equipe é redundante. O foco deve ser o fluxo de resolução com o desenvolvimento.
  • Alternativa C (Incorreta): Tratar apenas como "mais um problema" subestima a urgência de uma vulnerabilidade de segurança, que exige isolamento imediato e tratamento prioritário.
  • Alternativa D (Correta): Descreve o processo formal correto: Isolar (impedir a propagação do risco) e Solicitar a correção ao autor (equipe de desenvolvimento), mantendo a cadeia de responsabilidade e a qualidade do código.
  • Alternativa E (Incorreta): Similar à A, sugere que o revisor execute a correção, transferindo indevidamente a responsabilidade da programação para a equipe de segurança.

Conclusão

A prática recomendada em ambientes com severas restrições de segurança é garantir que o desenvolvedor autor do código realize a correção após o alerta e isolamento do problema pela equipe de segurança.

Alternativa D.

Tem outra questão para resolver?

Resolver agora com IA

Mais questões de Engenharia

Qual dispositivo oferece serviços de detecção automática para dispositivos smart que estão conectados à rede?

A modulação é uma técnica de transmissão de sinais de informação através de canais de comunicação. Para isso, existem frequências e a portadora, que são os meios de transporte...

Os sinais representam os símbolos que são transmitidos e que são compatíveis com os meios de comunicação. Um exemplo disso são os sinais elétricos emitidos em um sistema...

Embora sejam estruturas de dados, as estruturas homogêneas e heterogêneas apresentam diferenças. Faça a análise das alternativas e marque a que corresponde a essas diferenças.

Qual a relação central entre a IoT e a IA que possibilita a melhoria de processos e soluções tecnológicas?
Ver mais Engenharia resolvidas

Tem outra questão de Engenharia?

Cole o enunciado, tire uma foto ou descreva o problema — a IA resolve com explicação completa em segundos.

Resolver uma questão Ou instale a extensão para o Chrome