SóProvas

ID
1768144
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Considere que o capítulo sobre segurança de aplicações contenha proposta de adoção de uma metodologia de desenvolvimento de aplicações com segurança fundamentalmente embasada na metodologia OWASP (open web application security project), envolvendo uma proposta de processo de desenvolvimento de aplicações aderente ao arcabouço software assurance maturity model da OWASP, conhecido como SAMM ou OpenSAMM, em combinação com aspectos técnicos como arquiteturas seguras para aplicações web, análise de vulnerabilidades, testes de invasão, gestão de patches e ataques. Nesse contexto, julgue o item seguinte.

Em aderência ao arcabouço SAMM da OWASP, cada uma das práticas de segurança no desenvolvimento de software a serem desenvolvidas no ministério deve ser avaliada quanto à capacidade, em uma escala que varia de 0 a 5, e que são 0 – Incompleto; 1 – Executado; 2 – Gerenciado; 3 – Definido; 4 – Quantitativamente gerenciado; 5 – Otimizante.

Alternativas
Comentários

  • Maturity Levels

    Each of the twelve Security Practices has three defined Maturity Levels and an implicit starting point at zero. The details for each level differs between the Practices, but they generally represent:

    0 Implicit starting point representing the activities in the Practice being unfulfilled

    1 Initial understanding and ad hoc provision of Security Practice

    2 Increase efficiency and/or effectiveness of the Security Practice

    3 Comprehensive mastery of the Security Practice at scale

     

    https://www.owasp.org/images/e/ec/SAMM_Core_V1-1-Final-1page.pdf

     

    Gabarito: E

  • Software Assurance Maturity Model (SAMM)
    – Cada prática possui 3 objetivos que especificam como podem ser melhorados
    – Estabelece a noção de níveis de práticas a serem alcançadas
    – Os três níveis de cada prática geralmente correspondem a:
    • 0: Ponto de partida implícito, sem prática implementada
    • 1: Entendimento inicial da Prática e implementação ad hoc
    • 2: Aumento da eficiência e/ou efetividade da Prática
    • 3: Domínio completo da Prática em escala

    FONTE:     https://goo.gl/XchIkh