Tema 4 - Metodologías de Desarrollo Seguro

¿Cuál es la característica principal del modelo en espiral en el desarrollo de software seguro?. a. Se prioriza la rapidez frente a la calidad del producto. b. No permite cambios en los requisitos tras el inicio del proyecto. c. Cada fase se ejecuta de forma estrictamente lineal sin retrocesos. d. Se basa en la revisión de riesgos en cada iteración.

En el modelo en cascada, ¿por qué es crítico definir los requisitos de seguridad en la primera fase?. a.Todas son correctas. b. Porque corregir fallos de seguridad en fases posteriores es costoso. c. Para minimizar el esfuerzo de documentación. d. Porque el cliente revisará los requisitos constantemente.

¿Cuál es la diferencia principal entre un control preventivo y un control proactivo en el desarrollo seguro de aplicaciones?. a. El control preventivo verifica datos de entrada mientras que el proactivo define planes de prueba de seguridad. b. El control preventivo detecta errores en tiempo de ejecución y el proactivo los evita antes del despliegue. c. El control preventivo establece planes de prueba y el proactivo verifica la precisión de los datos ingresados. d. No hay diferencia significativa, ambos términos se utilizan indistintamente en metodologías de desarrollo seguro.

Usando el modelado de amenazas STRIDE, ¿dónde se clasificaría una vulnerabilidad en la que se pueden modificar los atributos de un usuario pudiendo cambiar su rol?. a. Spoofing (Suplantación). b. Elevation of Privilege (Escalada de privilegios). c. Elevation of Privilege (Escalada de privilegios). d. Information Disclosure (Filtración de información).

¿Cómo funciona el Método Socrático?. a. El defensor del punto de vista opuesto cuestiona con una forma negativa de la pregunta misma al resto. b. Se cuestiona el punto de vista opuesto sobre la razón fundamental de su posición. c. Es una escala de calificación del 1 a 5 que se utiliza para calificar la madurez de los procesos de desarrollo. d. Ninguna es correcta.

¿Cuál es la fase del Microsoft SDL donde se realizan las pruebas de fuzz testing y el análisis dinámico de código?. a. Fase de respuesta. b. Fase de diseño. c. Fase de requisitos. d. Fase de comprobación.

¿Qué metodología se utiliza para calificar, comparar y priorizar la severidad del riesgo presentado por cada amenaza?. a. Operationally Critical Threat, Asset and Vulnerability Evaluation (OCTAVE®). b. Six Sigma. c. STRIDE AND DREAD. d. Capability Maturity Model Integration (CMMI).

En la metodología Microsoft SDL, ¿en qué fase se realiza el análisis de superficies de ataques y modelos de riesgos?. a. Fase de comprobación. b. Fase de diseño. c. Fase de formación. d. Fase de requisitos.

Como estudiante de ciberseguridad, te piden diseñar un pipeline de CI/CD seguro para desplegar una aplicación web. ¿Qué combinación de herramientas es la más completa sin ser redundante?. a. Integrar SonarQube para análisis estático, Snyk para vulnerabilidades en librerías, OSS Index para dependencias y LGTM para análisis de código en GitHub. b. Usar únicamente SonarQube con todos sus plugins (SonarLint, SonarCloud y SonarQube Scanner), asumiendo que cubre tanto análisis estático como dinámico y gestión de vulnerabilidades. c. Montar un pipeline donde solo se use SonarQube para análisis estático y dejar el escaneo de dependencias para cuando surja un fallo en producción. d. Combinar SonarQube, SNYK, OWASP ZAP Y DEFECTDOJO en el mismo pipeline.

¿Qué roles tienen predefinidos los participantes en Scrum?. a. Scrum master, Product Owner y Team of Developers. b. No hay ningún rol predefinido en scrum. c. Scrum Master, Product Owner, Team of Developers, Stakeholders. d. Scrum master, Product builder, Team of Stakeholders, Developers.

¿Cuál de las siguientes respuestas es cierta para Microsoft SDL?. a. La fase de lanzamiento es aquella en la que el sistema se entrega, despliega y entra en funcionamiento. b. Posee dos versiones para el desarrollo ágil. c. Las potenciales amenazas para un activo y su probabilidad de ocurrencia se identifican en la fase de diseño. d. En la fase de comprobación normalmente se aplican técnicas de fuzz testing y análisis de código estático.

¿En cuál de las siguientes fases de Microsoft SDL se realiza la evaluación de los riesgos de seguridad y privacidad?. a. Fase de implementación. b. Fase de diseño. c. Fase de requisitos. d. Fase de comprobación.

¿Cuál es el objetivo del Método Socrático?. a. Calificar la madurez de los procesos de desarrollo de software. b. Estimar el pensamiento racional. c. Medir si un producto o servicio es perfecto. d. Definir un método de evaluación integral.

Secure Development Life Cycle (SDL) se enfoca en evitar la aparición de errores de las aplicaciones en: a. Diseño. b. Implementación. c. Producción. d. Ninguna de las anteriores.

De las 4 metodologías de desarrollo de software vistas en clase, ¿Cuál NO está diseñada para gestionar los cambios en los requisitos de manera rápida?. a. Modelo en espiral. b. Modelo incremental. c. Metodología ágil. d. Modelo en cascada.

¿Qué metodología mide si un producto está lo más cerca posible de no tener desviaciones de los requisitos?. a. Flaw Hypothesis Method. b. CMMI. c. OCTAVE. d. Six Sigma (6σ).

En el contexto del Microsoft SDL, ¿qué se busca principalmente durante la fase de comprobación?. a. Elaborar la arquitectura de seguridad inicial. b. Integrar nuevas funcionalidades al sistema. c. Detectar vulnerabilidades mediante fuzz testing y análisis dinámico. d. Publicar la versión final del software.

¿Cuál es el objetivo principal de la metodología Microsoft SDL en el desarrollo seguro de software?. a. Detectar vulnerabilidades de software y mejorar herramientas de mitigación. b. Reemplazar por completo el control de calidad tradicional. c. Implementar software sin necesidad de pruebas de seguridad. d. Reducir el tiempo de desarrollo eliminando pruebas de seguridad.

¿Qué técnica específica dentro de las metodologías de Software Assurance utiliza una fórmula específica para la evaluación de la gravedad del riesgo?. a. DREAD. b. FHM. c. OSSTMM. d. OCTAVE.

¿Qué metodología de desarrollo seguro fue impulsada por Microsoft y se centra en incorporar seguridad en las fases del ciclo de vida del desarrollo. a. Microsoft SDL. b. Microsoft CVE. c. OWASP CLASP. d. Microsoft CWE.

¿Qué acción no se realiza en la fase de comprobación en Microsoft SDL?. a. Fuzzing. b. Revisión de la superficie de ataque. c. Análisis estático. d. Análisis Dinámico.

¿Cuál de las siguientes fases del SDL es incorrecta?. a. La revisión final de seguridad y el seguimiento del sistema para responder ante nuevos incidentes de seguridad se realiza en la fase de entrega. b. En la fase de comprobación se revisa el código profundamente y se actúa sobre las posibles zonas de ataque sobre el software. c. Los requisitos de diseño son establecidos en la fase de diseño. d. La fase de requisitos conlleva definir los requisitos de seguridad.

¿De qué fases se compone SDL?: a. Formación, Requisitos, Diseño, Implementación, Verificación, Lanzamiento, Respuesta. b. Formación, Diseño, Requisitos, Implementación, Verificación, Respuesta, Lanzamiento. c. Requisitos, Formación, Diseño, Implementación, Verificación, Lanzamiento, Respuesta. d. Formación, Requisitos, Diseño, Implementación, Lanzamiento, Verificación, Respuesta.

¿Cuál es el objetivo principal durante la fase de requisitos en el Microsoft SDL?. a. Identificar vulnerabilidades en el código fuente. b. Revisar los planes de seguridad y proporcionar recomendaciones para cumplir con las metas de seguridad. c. Establecer medidas de mitigación de riesgos. d. Definir la arquitectura del software.

¿En qué fase de un proceso SDL se codifica, se prueba y se integra el software?. a. Fase de diseño. b. Fase de implementación. c. Fase de lanzamiento. d. Fase de comprobación.

¿Qué es y para qué sirve SonarQube?. a. Plataforma Open Source para medir la calidad del código y detectar malas prácticas. b. Software completamente propietario para medir la calidad del código y detectar malas prácticas. c. Servicio de detección de librerías y dependencias desactualizadas. d. Herramienta de análisis de la seguridad física.

¿Qué opción se corresponde con el nivel 4 del modelo de madurez CMMI?. a. Procesos enfocados en la mejora continua mediante tecnologías innovadoras. b. Procesos gestionados y medidos por métricas. c. Procesos definidos y con mejoras. d. Procesos básicos repetibles controlados por coste y tiempo.

¿En cual de las fases del flujo de Microsoft SDL se suelen aplicar técnicas de fuzz testing y análisis de código dinámico?. a. Fase de comprobación. b. Fase de implementación. c. Fase de anticipación. d. Fase de diseño.

¿Cuál de las siguientes metodologías se centra específicamente en detectar fallos de seguridad durante la generación de código y optimizar el rendimiento de los equipos de desarrollo?. a. OCTAVE. b. OWASP CLASP. c. TSP-Secure. d. Microsoft SDL.

¿En qué método se estimula el pensamiento racional?. a. STRIDE y DREAD. b. Método socrático. c. Capability Maturity Model Integration (CMMI). d. Six Sigma.

Cual de las siguientes no es una sección del Open Source Security Testing Methodology Manual (OSSTMM): a. Seguridad Fisica. b. Seguridad de los Procesos. c. Seguridad Inalámbrica. d. Seguridad del software.

¿Qué modelo se adaptaría mejor a una empresa de ciberseguridad en la que la adaptación ante nuevas vulnerabilidades es clave para la empresa?. a. Modelo en cascada. b. Modelo ágil. c. Ninguna es correcta. d. Modelo en espiral.

¿En qué tipos de amenazas se clasifica el modelo STRIDE?. a. Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege. b. Spoofing, Tampering, Replication, Information Disclosure, Denial of Service, Evasion. c. System Tampering, Risk Identification, Data Exposure. d. Security, Tampering, Risk, Intrusion, Detection, Encryption.

¿En qué consiste la metodología OWASP?. a. Lenguaje de programación orientado a objetos para entornos seguros. b. Conjunto de guías y herramientas para el desarrollo seguro de aplicaciones web. c. Protocolo de encriptación. d. Marco legal para la protección de datos personales en la web.

Una empresa desarrolla software sin fallos aparentes, pero es vulnerable a ataques básicos. ¿Qué enfoque ha fallado probablemente?. a. Pruebas unitarias. b. Diseño modular. c. Calidad del código. d. Definición de requisitos de seguridad.