Alternativa E - Utilizar componentes de empresas com boa reputação e com documentação
Análise da Questão
O enunciado aborda um cenário comum no desenvolvimento de software moderno: a reutilização de componentes externos (terceirização de partes do sistema) para ganhar produtividade. No entanto, isso introduz riscos de segurança conhecidos como "Risco da Cadeia de Suprimentos" (Supply Chain Risk).
Para mitigar esses riscos de forma eficiente e viável, a organização deve adotar critérios rigorosos na seleção dos componentes adquiridos.
Por que a Alternativa E é a correta?
- Gestão de Riscos de Fornecedores: Ao escolher empresas com boa reputação, a contratante reduz a chance de adquirir softwares desenvolvidos de forma negligente ou com práticas de segurança ruins. Grandes empresas geralmente possuem departamentos dedicados à segurança (SecOps).
- Manutenibilidade e Suporte: A presença de documentação adequada é fundamental. Ela permite que a equipe interna entenda como o componente funciona, como configurá-lo corretamente e como aplicar atualizações de segurança (patches) quando novas vulnerabilidades forem descobertas.
- Pragmatismo: Nem sempre é possível auditar cada linha de código (alternativa C) devido ao custo e tempo. Confiar em fornecedores estabelecidos é a primeira linha de defesa.
Por que as outras alternativas estão incorretas?
| Alternativa | Motivo da Incorreção |
|---|
| A | Uma licença comercial não garante segurança. Existem inúmeros softwares pagos que possuem falhas críticas de segurança. O pagamento pelo software não implica em garantia de integridade do código. |
| B | Código aberto (Open Source) oferece transparência, mas não garante segurança automática. Projetos abandonados, sem manutenção ou mal mantidos são comuns no ecossistema open source e podem conter vulnerabilidades graves. |
| C | Embora analisar o código seja uma prática excelente (Code Review), ela é frequentemente impraticável em escala para todos os componentes de uma empresa grande. Além disso, se o componente for proprietário, o código-fonte não está disponível para estudo. |
| D | Utilizar qualquer biblioteca é perigoso. Bibliotecas de criptografia mal implementadas ou obsoletas podem criar falsas sensações de segurança e gerar brechas reais. A confiança deve ser baseada na reputação, não apenas na função declarada. |
Conclusão
A estratégia mais eficaz e realista para reduzir riscos ao integrar software de terceiros é realizar uma Due Diligence nos fornecedores, priorizando aqueles com histórico comprovado (reputação) e capacidade de suporte técnico (documentação).