Tipo Test

¿Para qué podemos utilizar una expresión regular?. Búsqueda de patrones. Transformación de la información. Validación de la información. Todas las respuestas son correctas.

¿Es necesario el código fuente para aplicar técnicas de análisis estático?. No, a diferencia de análisis dinámico donde sí es necesario. No, es útil pero no necesario. Sí, sin el código fuente no podemos aplicar técnicas de análisis estático. Sí, es una de las diferencias clave entre análisis estático y dinámico.

AFL es una herramienta principalmente utilizada para... Análisis estático. Fuzzing a páginas web. Fuzzing a binarios. Tests unitarios y de integración en Java.

En Microsoft SDL, las «secure features» se describen en la siguiente fase: Diseño. Requisitos. Implementación. Lanzamiento.

¿Qué se conoce como el efecto observador?. El mero hecho de observar un fenómeno puede cambiar el comportamiento del propio fenómeno observado. Es especialmente relevante en técnicas de análisis dinámico. El tener opiniones preconcebidas de qué podría pasar al ejecutar determinadas pruebas puede afectar a su resultado. Debe tenerse en cuenta especialmente cuando se realizan tests de diferentes tipos. Observar cómo mi compañero hace las prácticas sin realizar mi parte correspondiente puede afectar a mi nota final en la práctica. Ninguna de las respuestas es correcta.

Dependabot es una herramienta de tipo (...) que sirve para (...): Análisis estático, detectar vulnerabilidades en nuestro código. Análisis estático, automatizar la gestión de dependencias. Análisis dinámico, detectar vulnerabilidades en nuestro código. Análisis dinámico, automatizar la gestión de dependencias.

¿Qué información nos aporta el CFG (Control Flow Graph)?. Un árbol representando la estructura del código de nuestra aplicación. Un grafo representando cómo fluyen los valores de las diferentes variables al ejecutarse una determinada aplicación. Un grafo representando los diferentes “caminos” que puede seguir el código al ejecutarse de una determinada aplicación. Ninguna de las respuestas es correcta.

Un programa usa una popular librería de código abierto. ¿Cuál de las siguientes opciones es más probable que sea cierta?. El programador nunca debería utilizar una librerías de un tercero, debe implementar el código personalmente. El principio de «Open Source» nos asegura que la librería es segura de usar sin limitaciones, dado que ha sido comprobada por muchas personas. El programador debe validar las entradas a la librería para asegurarse que coincidan con lo esperado por la librería. El programador debe facilitar mensajes de error al usuario que incluyan la traza de la librería para que pueda detectar su origen.

¿Cuál es la diferencia entre programación robusta y programación segura?. La programación robusta es lo opuesto a la programación segura. La programación robusta evita los desbordamientos del búffer, la programación segura los maneja en caso de que ocurran. La programación robusta se ocupa de la velocidad y la programación segura se ocupa de la seguridad. La programación robusta se ocupa de los errores en general. La programación segura se ocupa de errores que son problemas de seguridad.

En «Common criteria», el conjunto acordado de requisitos a garantizar para una categoría de productos de proveedores desplegados en un tipo particular de entorno se conoce como. Target of Evaluation (TOE). Security Target (ST). Protection Profile (PP). Evaluation Assurance Level (EAL).

¿En qué fase del ciclo de vida seguro se realiza el análisis estático del código?. Fase de diseño. Fase de implementación. Fase de comprobación. Fase de respuesta.

¿Cuál de las siguientes herramientas permite analizar vulnerabilidades en dependencias de terceros dentro de un repositorio de GitHub?. OWASP SAMM. Dependabot. Burp Suite. SonarQube.

Según el principio de seguridad “Complete Mediation”, ¿qué debe hacer un sistema al acceder a un archivo solicitado por un usuario?. Verificar permisos en cada acceso, incluso si ya fue autorizado antes. Cachear la autorización para mejorar rendimiento. Pedir confirmación solo la primera vez. Usar únicamente el contexto del usuario para decidir.

La tecnología del kernel de Linux que permite implementar un control de acceso a los recursos mucho más específico que el clásico (user, group, anyone), basado en etiquetas (¿Puede actor hacer acción sobre recurso?), se llama: SECCOMP. Namespaces. Cgroups. SELinux.

En el contexto de un lenguaje formal, como Python o Java, ¿cuál de las siguientes afirmaciones es correcta?. El conjunto de reglas puede ser finito o infinito. No es ambiguo. No existe una separación clara entre el conjunto de frases o secuencias permitidas y no permitidas. Todas las gramáticas tienen la misma complejidad.

Tenemos un dataset de 1000 ficheros, en los que 10 son maliciosos, y 990 son ficheros legítimos. Una de las herramientas que estamos evaluando comprar, Habast, reporta obtener un accuracy del 99,9 %, mientras que otra, MacCafe, reporta un accuracy del 98 %. ¿Qué herramienta recomendarías comprar?. Habast, puesto que tiene un accuracy mayor. MacCafe, puesto que tiene un accuracy menor. Ambas herramientas, las dos parecen ser muy afectivas. En el contexto evaluado, no disponemos de información suficiente para emitir un veredicto, y necesitamos considerar otras métricas.

¿Es posible detectar de forma automática algunos casos de accesos inválidos a memoria en C o C++ mientras la aplicación se está ejecutando?. No, C y C++ nunca controlan en tiempo de ejecución si los accesos a memoria, por ejemplo, en arrays, acceden en un rango válido. No, solo se detectan los accesos a memoria inválidos en arrays estáticos, pero si se usa memoria dinámica (malloc, calloc, ...) no es posible. Sí, utilizando herramientas como ASAN (Address Sanitizer). Sí, utilizando herramientas como SonarQube.

¿En cuál de los siguientes casos podemos utilizar Selenium?. Cuando la aplicación web se ha desarrollado utilizando Node (Javascript). Cuando utilizamos Firefox como navegador. Cuando utilizamos Java o Python para implementar el test. Todas las respuestas son correctas.