Questão
No DevSecOps, existem algumas metodologias que podem ser abordadas em que cada fase do SDLC. Dentre elas existem a SAST, IAST e DAST. Na abordagem de SAST, o código fonte é inspecionado de forma estática, analisando literalmente o código fonte da aplicação em busca de falhas durante o processo de desenvolvimento.
I - O Software Composition Analysis (SCA) é uma abordagem para analisar os componentes de terceiros e de código aberto utilizados em um sistema.
II - Pode-se afirmar que o SCA está inserido no SAST, pois faz parte da análise estática de componentes utilizados no código.
Analisar as asserções e assinalar a alternativa correta.
Escolha uma opção:
A) As asserções I e II são proposições verdadeiras, mas a II está fora de contexto. B) As asserções I e II são proposições verdadeiras, e a II complementa corretamente a I. C) A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. D) As asserções I e II são proposições falsas. E) A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
E
A asserção I é verdadeira, pois o Software Composition Analysis (SCA) realmente analisa componentes de terceiros e de código aberto em um sistema. No entanto, a asserção II é falsa porque o SCA não está inserido no SAST. O SAST (Static Application Security Testing) é uma análise estática do código fonte, enquanto o SCA foca na análise de componentes e bibliotecas externas, não sendo parte do SAST.