"Os elementos do SDL que são aplicados na fase de implementação são:
-> Aplicar padrões de codificação e teste. Os padrões de codificação ajudam os desenvolvedores a evitar a introdução de falhas que podem levar a vulnerabilidades de segurança. Por exemplo, a utilização de construções de manipulação de seqüências e de buffer mais consistentes e seguras pode ajudar a evitar a introdução de vulnerabilidades de saturação do buffer. As práticas recomendadas e os padrões de testes ajudam a garantir que os testes se concentrem na detecção de possíveis vulnerabilidades de segurança e não apenas na operação correta de funções e recursos do software.
->Aplicar ferramentas de testes de segurança, incluindo ferramentas de difusão. A "difusão" oferece entradas estruturadas mas inválidas para APIs (interfaces de programação de aplicativo) de software e interfaces de rede, de forma a maximizar a probabilidade de detectar erros que podem levar a vulnerabilidades de software.
->Aplicar ferramentas de verificação de código de análise estática. As ferramentas podem detectar alguns tipos de falhas de código que resultam em vulnerabilidades, incluindo saturações do buffer, de números inteiros e variáveis não inicializadas. A Microsoft fez um investimento importante no desenvolvimento dessas ferramentas (as duas que têm sido mais usadas são conhecidas como PREfix e PREfast) e as aperfeiçoa continuamente conforme novos tipos de falhas de código e vulnerabilidades de software são descobertos.
->Realizar revisões de código. As revisões de código complementam os testes e as ferramentas automatizadas; para isso, elas aplicam os esforços de desenvolvedores treinados no examine do código-fonte e na detecção e remoção de possíveis vulnerabilidades de segurança. Elas são uma etapa essencial no processo de remoção de vulnerabilidades de segurança do software durante o processo de desenvolvimento."
Gabarito: D)
Questão retirada de:
https://msdn.microsoft.com/pt-br/library/ms995349.aspx
Gabarito D
A implementação consiste na produção de código executável, usando-se uma ou mais linguagens de programação, sejam elas interpretadas ou compiladas. É preciso empregar técnicas de programação defensiva para desenvolver código que resista ao ataque de usuários hackers. A forma mais comum de garantir que será produzido código seguro é por meio de aderência ao uso de padrões de codificação que reduzem a ocorrência de vulnerabilidades de código, chamados padrões de codificação segura, e da verificação de que os programadores a estão adotando. Tais padrões tendem a evitar a injeção de código e outros ataques. Também se recomenda, para verificação, o uso de ferramentas de análise estática de código, que identificam formas de codificação propensas à introdução de vulnerabilidades. De outra forma, a melhor estratégia é confiar na capacidade dos técnicos e reforçar a disciplina boa técnica de programação defensiva e codificação segura, que emprega técnicas anteriormente pouco usadas na prática.
"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !