Test Introducción y Metodologías SDLC

¿Cuál de los siguientes se menciona como un 'Factor Organizacional' que impide que los programadores escriban código seguro?. Lenguajes de programación complejos. Falta de conciencia del programador. Código antiguo o legacy. Uso de bibliotecas de terceros.

Según el enfoque de Microsoft SDL, la Revisión Final de Seguridad (FSR) en la fase Release NO es: Una prueba de penetración. La primera vez que se revisa la seguridad. La primera vez que se revisa la seguridad y Una prueba de penetración. Un proceso de aprobación.

En la Fase I (Requerimientos) de Microsoft SDL, se debe definir y documentar un elemento crucial para medir la calidad de la seguridad. ¿Cuál es?. Las barras de errores (bug bars) de seguridad y privacidad. El código fuente final. El manual de usuario. La auditoría externa.

En la Fase IV - Desarrollo del S-SDLC, se mencionan herramientas automáticas de revisión de código. ¿Cuál de las siguientes es una herramienta de análisis estático del código fuente mencionada en el contexto de Oracle Software Security Assurance (OSSA)?. FIPS 140. WebInspect. Fortify. OWASP ESAPI.

¿Qué es BSIMM según el documento?. Un modelo de madurez para la construcción de seguridad (Building Security In Maturity Model). Una herramienta automatizada de análisis estático. Un tipo de vulnerabilidad por inyección SQL. Un estándar de desarrollo propietario exclusivo de Oracle.

Uno de los principios de la programación defensiva es 'Minimizar el alcance de los daños'. ¿Qué significa esto?. Diseñar software perfecto que nunca contenga fallos bajo ninguna condición. Si ocurre un error, se debe limitar su impacto (ej. evitar que afecte a otras partes del sistema). Permitir que los errores se propaguen libremente para facilitar el diagnóstico visual. Reducir la cantidad de líneas de código dedicadas a las funciones principales.

Según las prácticas de manejo de vulnerabilidades de Oracle (OSSA), los boletines de terceros sobre vulnerabilidades en productos Oracle suelen ser muy precisos y fiables. Verdadero. Falso.

Dentro del 'Arte de la Programación Defensiva', ¿qué recomendación se da sobre el uso de Frameworks?. Deben evitarse por completo debido al código oculto que contienen. Solo se recomiendan para aplicaciones de pequeña escala o prototipos. Deben utilizarse para no 'reinventar la rueda' y aprovechar la seguridad que ofrecen. No son necesarios en entornos de producción con alta seguridad.

En la Fase V - Testing del S-SDLC, ¿qué tipo de prueba se recomienda intentar incluir, que involucre infraestructura similar al entorno de producción, con el objetivo de validar la implementación de las contramedidas de seguridad?. Pruebas unitarias ejecutadas por los mismos desarrolladores. Static Code Analysis (SAST). Auditoría de seguridad exhaustiva y revisiones de código manuales. Pentesting independiente.

En la Fase III - Diseño de Seguridad, si una aplicación tiene un componente que se conecta a un servidor externo para recuperar claves, ¿qué medida de mitigación de amenazas se diseña para prevenir el robo de claves?. Asegurar que las claves viajan cifradas y la conexión utiliza cifrado. Implementar una conexión de red redundante para evitar pérdidas de servicio. Documentar detalladamente el código fuente para futuras revisiones. Realizar pruebas tipo Fuzz al componente receptor de las claves.