SóProvas

ID
1311811
Banca
CESPE / CEBRASPE
Órgão
Polícia Federal
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere a processos de desenvolvimento seguro de aplicações, julgue os itens subsecutivos.

O CLASP (Comprehensive, Lightweight Application Security Process) fornece uma taxonomia de vulnerabilidades que podem ocorrer no código-fonte e que podem ser verificadas com o uso de ferramentas automatizadas para análise estática de código.

Alternativas
Comentários

  • eu acho que é esse cara


    https://buildsecurityin.us-cert.gov/resources/websites/clasp

  • Gabarito Certo

    O CLASP (Comprehensive, Lightweight Application Security Process) é uma metodologia de desenvolvimento seguro de software orientada a atividades e papéis, que descreve melhores práticas para projetos novos ou em andamento. São propostas 24 atividades divididas em componentes de processos discretos ligados a um ou mais papéis de um projeto. Desta forma, o CLASP provê um guia para participantes de um projeto: gerentes, auditores de segurança, desenvolvedores, arquitetos e testadores, entre outros.

    A estrutura do processo é dividida em cinco perspectivas, denominadas Visões CLASP. Cada Visão, por sua vez, é dividida em atividades, que contém os componentes do processo.  São as Visões:

    Visão Conceitual;

    Visão de Papéis;

    Visão de Avaliação de Atividade

    Visão de Implementação de Atividade

    Visão de Vulnerabilidades.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • O CLASP é um projeto (agora legado) da OWASP. O link com as informações dessa questão estão em: https://www.owasp.org/index.php/CLASP_Concepts

  • Gabarito Certo

    Inicialmente desenvolvido pela empresa Secure Software, hoje sob a responsabilidade da OWASP, o CLASP (Comprehensive, Lightweight Application Security Process) é um conjunto de componentes de processo dirigido por atividade e baseado em regras, que articula práticas para construção de software seguro, permitindo o ciclo de vida de desenvolvimento do software SDLC (Software Delevopment LifeCicle) de maneira estruturada, com repetição e mensuração (OWASP 2006). O CLASP é um conjunto de pedaços de processos que pode ser integrado a qualquer processo de desenvolvimento de software. Foi projetado para ser de fácil utilização. Tem um enfoque prescritivo, documentando as atividades que as organizações devem realizar, proporcionando uma ampla riqueza de recursos de segurança que facilitam a implementação dessas atividades (OWASP 2011). A estrutura do CLASP e as dependências entre os componentes do processo CLASP são organizados como se segue e descritos adiante:

    • Visões CLASP;

    • Recursos CLASP;

    • Caso de Uso de Vulnerabilidade.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • CORRETO!

     

    Comprehensive, Lightweight Application Security Process (CLASP)

    O CLASP: articula práticas para a construção de software seguro;

    O CLASP: foi projetado para ser de fácil utilização;

    No CLASP: é proporcionado uma ampla riqueza de recursos de segurança que traz mais facilidade à implementação das atividades.

     

    Por meio de exemplos de fácil entendimento os casos de uso fornecem aos usuários CLASP o relacionamento de causa e efeito sobre a codificação do programa e seu design, ainda mostra os possíveis resultados da exploração de vulnerabilidades em serviços de segurança básicos, como por exemplo: Autorização, autenticação, confidencialidade, disponibilidade, responsabilização e não repúdio.

     

    Fonte: http://revistapensar.com.br/tecnologia/pasta_upload/artigos/a127.pdf

  • CLASP (Comprehensive, Lightweight Application Security Process) 

    24 atividades de segurança

    5 visões

    • Visão Conceitual -> Visão geral, melhores práticas entre CLASP e políticas de segurança.

    • Visão de Papéis -> Responsabilidade de cada membro do projeto.

    • Visão de Avaliação de Atividade-> Avalia proposito de atividades, responsáveis, contribuidores, aplicabilidade.

    • Visão de Implementação de Atividade -> Descreve conteúdo das 24 atividades de segurança.

    • Visão de Vulnerabilidades.

                • Erros de Tipo e Limites de Tamanho; • Problemas do Ambiente; • Erros de Sincronização e Temporização; • Erros de Protocolo; • Erros Lógicos em Geral.

     

     

     

     

     

  •  é o resultado de anos de extenso trabalho de campo no qual os recursos do sistema de muitos ciclos de vida de desenvolvimento foram metodicamente decompostos para criar um conjunto abrangente de requisitos de segurança. Esses requisitos resultantes formam a base das melhores práticas do CLASP, que permitem que as organizações tratem sistematicamente vulnerabilidades que, se exploradas, podem resultar na falha de serviços básicos de segurança - por exemplo, confidencialidade, autenticação e controle de acesso.

     foi projetado para permitir que você integre facilmente suas atividades relacionadas à segurança em seus processos de desenvolvimento de aplicativos existentes. Cada atividade do  é dividida em componentes de processo discretos e vinculada a uma ou mais funções específicas do projeto. Dessa forma, o  fornece orientação aos participantes do projeto - por exemplo, gerentes de projeto, auditores de segurança, desenvolvedores, arquitetos, testadores e outros - que é fácil de adotar em seu modo de trabalhar; isso resulta em melhorias incrementais na segurança que são facilmente alcançadas, repetíveis e mensuráveis.

  • Taxonomia (do grego antigo τάξις, táxis, "arranjo" e νομία, nomia, "método") é a disciplina biológica que define os grupos de organismos biológicos com base em características comuns e dá nomes a esses grupos. 

    pqp fala sério