Desenvolvimento Seguro: Considere que uma equipe esteja trabalhando num software web com severas restrições de segurança. Além dos desenvolvedores e analistas, essa equipe conta com profissionais especialistas em segurança que têm, entre outras atribuições, a responsabilidade de realizar a revisão dos códigos a fim de evitar vulnerabilidades. Se durante a etapa de desenvolvimento um revisor da equipe de segurança detectar uma vulnerabilidade, é sua responsabilidade:

Questão

Considere que uma equipe esteja trabalhando num software web com severas restrições de segurança. Além dos desenvolvedores e analistas, essa equipe conta com profissionais especialistas em segurança que têm, entre outras atribuições, a responsabilidade de realizar a revisão dos códigos a fim de evitar vulnerabilidades. Se durante a etapa de desenvolvimento um revisor da equipe de segurança detectar uma vulnerabilidade, é sua responsabilidade:

Alternativas

A) Corrigir a vulnerabilidade, contatando os desenvolvedores que programaram o trecho de código vulnerável.

B) Separar a vulnerabilidade e alertar a equipe de segurança para que o problema seja resolvido.

C) Separar a vulnerabilidade, tratando o código com erro como mais um problema que requer correção.

D) Isolar o problema e solicitar que a equipe de desenvolvimento corrija a vulnerabilidade imediatamente.

86%

E) Corrigir o problema e relatar a vulnerabilidade à equipe de segurança.

Explicação

Em um processo de desenvolvimento seguro (SSDLC), o especialista/revisor de segurança tem como papel principal identificar, registrar, orientar e acompanhar a correção de vulnerabilidades, garantindo que elas sejam tratadas com prioridade adequada.

Pontos-chave do cenário:

  1. A equipe de segurança revisa o código para evitar vulnerabilidades. Logo, ao detectar uma falha, a ação esperada é abrir/registrar o problema, detalhar a evidência e encaminhar para correção.
  2. Em geral, quem corrige o código é a equipe de desenvolvimento, pois é ela quem tem a responsabilidade direta sobre o artefato de software (implementação, testes, build e entrega). O revisor de segurança pode sugerir correções, indicar padrões e validar o conserto, mas não é obrigatório (nem típico) que ele mesmo corrija.
  3. Como a questão fala em severas restrições de segurança, ao detectar a vulnerabilidade durante o desenvolvimento, a conduta adequada é isolar e tratar como incidente de qualidade/segurança e solicitar correção imediata pelo time que implementa, para reduzir a janela de exposição e evitar que o defeito siga no pipeline.

Analisando as alternativas:

  • A e E: colocam como responsabilidade do revisor corrigir o código. Isso não é a atribuição típica; o papel dele é identificar e demandar correção/acompanhar.
  • B: fala em alertar a própria equipe de segurança “para que resolva”. Em geral, quem resolve no código é o desenvolvimento.
  • C: é vaga e não enfatiza o encaminhamento correto (para desenvolvimento) e a urgência.
  • D: expressa exatamente a responsabilidade esperada: isolar o problema e solicitar correção imediata pela equipe de desenvolvimento.

Alternativa correta: (D).

desenvolvimento-seguroengenharia-de-softwarerevisao-de-codigoseguranca-da-informacao

Questões relacionadas

Ver últimas questões

Comece a estudar de forma inteligente hoje mesmo

Resolva questões de concursos e vestibulares com IA, gere simulados personalizados e domine os conteúdos que mais caem nas provas.

Ter acesso ilimitado

Cancele quando quiser.