Questão nº 56
Questão de TI - Soluções · FGV EPE 2024 (nº 56)
Desenvolvimento seguro é um conjunto de práticas que visam incorporar a segurança em todas as fases do ciclo de vida do desenvolvimento de software. As técnicas de análise de segurança de aplicações desempenham um papel crucial na identificação e mitigação de vulnerabilidades.
Assinale a opção que indica a técnica usada para analisar o código-fonte de uma aplicação em busca de vulnerabilidades, sem executar essa aplicação.
- ADAST (Dynamic Application Security Testing).
- BSAST (Static Application Security Testing). (alternativa correta)
- CIAST (Interactive Application Security Testing).
- DBlack Box Testing.
- EFuzz Testing.
Resposta comentada
Gabarito Alternativa B
Desenvolvimento seguro é a prática de incorporar a segurança desde as primeiras etapas do projeto de um software, usando ferramentas e processos para identificar e corrigir falhas antes que o programa seja lançado. As técnicas de análise de segurança ajudam a encontrar essas falhas.
(A) Incorreta: DAST (Dynamic Application Security Testing) testa a aplicação em execução, simulando ataques externos para encontrar vulnerabilidades. A armadilha aqui é que DAST é uma técnica de segurança de aplicação, mas ela exige que a aplicação esteja rodando, o oposto do que a questão pede ("sem executar").
(B) Correta: SAST (Static Application Security Testing) é a técnica que analisa o código-fonte ou binário de uma aplicação sem executá-la, buscando padrões de vulnerabilidades conhecidas.
(C) Incorreta: IAST (Interactive Application Security Testing) é uma abordagem híbrida que analisa a aplicação em tempo de execução de dentro para fora, o que implica execução.
(D) Incorreta: Black Box Testing é um tipo de teste funcional ou de segurança onde o testador não tem conhecimento da estrutura interna da aplicação, tratando-a como uma "caixa preta", o que geralmente envolve execução.
(E) Incorreta: Fuzz Testing é uma técnica que injeta dados inesperados, aleatórios ou inválidos na aplicação em execução para encontrar falhas de segurança ou estabilidade.
Fonte: FGV EPE 2024 Analista de Gestão Corporativa - TI - Soluções (Caderno Tipo 1). Reproduzida para fins de estudo.