Questão nº 107
Questão de Tecnologia da Informação · FGV CGE-SP 2025 (nº 107)
Em um ambiente que adota a cultura DevSecOps, a segurança é integrada em todas as fases do Secure SDLC.
Um engenheiro de segurança está automatizando ferramentas para identificar vulnerabilidades. Ele usa uma ferramenta que analisa o código-fonte ou binário sem executá-lo, focando em erros de programação segura e falhas de design, e outra que interage com a aplicação em execução (ambiente de staging ou teste) para encontrar vulnerabilidades como XSS ou SQL Injection.
Assinale a opção que apresenta o termo que define, respectivamente, a análise de segurança que opera sem executar o código-fonte ou binário (focando em padrões inseguros) e a análise de segurança que opera interagindo com a aplicação em tempo de execução.
- AAnálise Manual (MR) e Análise Estática de Código (SAST).
- BAnálise Dinâmica de Código (DAST) e Penetration Testing.
- CAnálise Estática de Código (SAST) e Análise Dinâmica de Código (DAST). (alternativa correta)
- DAnálise de Composição de Software (SCA) e Análise Estática de Código (SAST).
- EAnálise Dinâmica de Código (DAST) e Análise de Composição de Software (SCA).
Resposta comentada
Gabarito Alternativa C
Em DevSecOps, a segurança é incorporada desde o início do desenvolvimento. Para isso, são usadas ferramentas que analisam o código de diferentes formas: algumas sem executá-lo (análise estática) e outras interagindo com a aplicação em funcionamento (análise dinâmica).
- (A) Incorreta: A Análise Manual não se encaixa na descrição de automatização e a ordem está incorreta para a segunda parte.
- (B) Incorreta: A Análise Dinâmica de Código (DAST) não analisa o código-fonte sem executá-lo, e embora o Penetration Testing interaja com a aplicação, a primeira parte da descrição não corresponde.
- (C) Correta: A Análise Estática de Código (SAST) analisa o código-fonte ou binário sem executá-lo, buscando erros de programação segura e falhas de design. A Análise Dinâmica de Código (DAST) interage com a aplicação em execução para encontrar vulnerabilidades como XSS ou SQL Injection.
- (D) Incorreta: A Análise de Composição de Software (SCA) foca em vulnerabilidades de bibliotecas de terceiros, não em erros de programação segura no código-fonte principal, e a ordem está incorreta para a segunda parte.
- (E) Incorreta: A Análise Dinâmica de Código (DAST) não analisa o código-fonte sem executá-lo, e a Análise de Composição de Software (SCA) não interage com a aplicação em tempo de execução para encontrar XSS ou SQL Injection.
Fonte: FGV CGE-SP 2025 Auditor Estadual de Controle - Tecnologia da Informação (Caderno Tipo 1). Reproduzida para fins de estudo.