Galería de mapas mentales Notas de estudio de CISSP-20 (seguridad del desarrollo de software)
Este es un mapa mental sobre las notas de estudio de CISSP-20 (Seguridad del desarrollo de software). El contenido principal incluye: preguntas de repaso, puntos clave del examen y puntos de conocimiento.
Editado a las 2024-03-16 16:29:59,プロジェクトマネジメントとは、専門的な知識、スキル、ツール、方法論をプロジェクト活動に適用し、限られたリソースの制約の中で、プロジェクトが設定された要件や期待を達成、またはそれ以上にできるようにするプロセスである。 この図は、プロジェクトマネジメントプロセスの8つの構成要素を包括的に示したものであり、一般的なテンプレートとして利用することができる。
プロジェクトマネジメントとは、専門的な知識、スキル、ツール、方法論をプロジェクト活動に適用し、限られたリソースの制約の中で、プロジェクトが設定された要件や期待を達成、またはそれ以上にできるようにするプロセスである。 この図は、プロジェクトマネジメントプロセスの8つの構成要素を包括的に示したものであり、一般的なテンプレートとして利用することができる。
世界的に著名な科学者、航空力学者、中国有人宇宙飛行の創始者、中国科学院および中国工程院の院士、「二元一星勲章」受章者、「中国宇宙飛行の父」、「中国ミサイルの父」、「中国自動制御の父」、「ロケットの王」として知られる。 中国宇宙の父」、「中国ミサイルの父」、「中国自動制御の父」、「ロケット王」として知られる。
プロジェクトマネジメントとは、専門的な知識、スキル、ツール、方法論をプロジェクト活動に適用し、限られたリソースの制約の中で、プロジェクトが設定された要件や期待を達成、またはそれ以上にできるようにするプロセスである。 この図は、プロジェクトマネジメントプロセスの8つの構成要素を包括的に示したものであり、一般的なテンプレートとして利用することができる。
プロジェクトマネジメントとは、専門的な知識、スキル、ツール、方法論をプロジェクト活動に適用し、限られたリソースの制約の中で、プロジェクトが設定された要件や期待を達成、またはそれ以上にできるようにするプロセスである。 この図は、プロジェクトマネジメントプロセスの8つの構成要素を包括的に示したものであり、一般的なテンプレートとして利用することができる。
世界的に著名な科学者、航空力学者、中国有人宇宙飛行の創始者、中国科学院および中国工程院の院士、「二元一星勲章」受章者、「中国宇宙飛行の父」、「中国ミサイルの父」、「中国自動制御の父」、「ロケットの王」として知られる。 中国宇宙の父」、「中国ミサイルの父」、「中国自動制御の父」、「ロケット王」として知られる。
Notas de estudio de CISSP-20 (seguridad del desarrollo de software)
Puntos de conocimiento
Descripción general del control de desarrollo de software
desarrollo de software
lenguaje de programación
Lenguajes compilados: C, Java, VB
No es fácilmente manipulable por terceros.
Los actores maliciosos pueden agregar puertas traseras y las fallas de seguridad evitan la detección
Lenguajes interpretados: Python, R, JS y VBS
Biblioteca
Conjunto de herramientas de desarrollo
Programación orientada a objetos
asegurar
Evitar y suprimir fallos del sistema.
Validación de entrada
Autenticación y gestión de sesiones.
Manejo de errores
Registro
Entrada fallida y cierre fallido
ciclo de vida de desarrollo de sistemas
modelo de ciclo de vida
modelo de cascada
Solo puede retroceder una etapa y no puede manejar errores más adelante en el ciclo de desarrollo.
modelo espiral
Cada espiral es una cascada.
Desarrollo Ágil de Software
Melé
Modelo de madurez de capacidad CMM o SW-CMM o SCMM
escenario
nivel inicial
nivel repetible
nivel de definición
nivel de manejo
Nivel de optimización
Modelo de madurez de Software Assurance SAMM
modelo IDEAL
escenario
puesta en marcha
diagnóstico
Establecer
acción
estudiar
Diagrama de Gantt y PERT
Gestión de cambios y configuración.
cambiar
Control de solicitudes, control de cambios y control de lanzamientos
Configuración
Enfoque DevOps
DevSecOps
Los controles de seguridad se gestionan proactivamente mediante código.
Interfaz de programación de aplicaciones
rizo
prueba de software
prueba de caja blanca
Los probadores tienen acceso al código fuente
prueba de caja negra
Perspectiva del usuario, sin acceso al código.
Prueba de caja gris
Combine, pero no analice los principios internos.
repositorio de código
acuerdo de nivel de servicio
Adquisición de software de terceros
Crear bases de datos y almacenes de datos.
Arquitectura del sistema de gestión de bases de datos.
Base de datos jerárquica y base de datos distribuida.
Jerárquico: uno a muchos
Distribuido: muchos a muchos
base de datos relacional
Estructura de filas y columnas
transacción de base de datos
Atributos
atomicidad
consistencia
Aislamiento
persistencia
Seguridad de bases de datos multinivel
Usar vistas
Conectividad de base de datos abierta ODBC
No SQL
almacenamiento de clave/valor
La base de datos de gráficos almacena datos en formato gráfico.
Almacenamiento de documento
Similar al almacenamiento de clave/valor
Tipos de documentos comunes: XML y JSON
amenazas a la memoria
Comprender los sistemas basados en el conocimiento.
Experto en Sistemas
base de conocimientos
Una serie de declaraciones si/entonces que codifican el conocimiento experto.
máquina de inferencia
Toma de decisiones
Aprendizaje automático
aprendizaje supervisado
Entrene usando datos etiquetados
aprendizaje sin supervisión
Utilice datos sin etiquetar para el entrenamiento
Redes neuronales
puntos del examen
Explicar la arquitectura básica de un sistema de gestión de bases de datos relacionales (RDBMS). Comprender la estructura de las bases de datos relacionales. Capacidad para explicar la funcionalidad de tablas (relaciones, filas (registros/tuplas) y columnas (campos/propiedades). Saber definir relaciones entre tablas y varios tipos de claves. Describir las amenazas a la seguridad de las bases de datos planteadas por la agregación y la inferencia.
Explicar cómo funcionan los sistemas expertos, el aprendizaje automático y las redes neuronales. El sistema experto consta de dos componentes principales: una base de conocimientos que contiene una serie de reglas y un motor de inferencia que utiliza la información de la base de conocimientos para obtener otros datos. La tecnología de aprendizaje automático intenta descubrir conocimiento a partir de datos mediante algoritmos. Las redes neuronales simulan el funcionamiento del cerebro humano y resuelven problemas organizando una serie de cálculos jerárquicos dentro de un alcance limitado. Las redes neuronales requieren una amplia formación sobre un problema específico antes de que puedan ofrecer una solución.
Comprender los modelos para el desarrollo de sistemas. El modelo en cascada describe un proceso de desarrollo continuo que da como resultado el desarrollo de un producto final. Si se encuentra un error, el desarrollador sólo puede volver a la etapa anterior. El modelo en espiral recorre en iteración varios modelos en cascada, lo que da como resultado múltiples prototipos detallados y completamente probados. Los modelos de desarrollo ágiles se centran en las necesidades de los clientes y desarrollan rápidamente nuevas características para satisfacer esas necesidades de manera iterativa.
Explicar la metodología Scrum en el desarrollo ágil de software. Scrum es un enfoque organizado para implementar la filosofía ágil. Se basa en reuniones Scrum diarias para organizar y revisar el trabajo. El desarrollo es una breve serie de actividades centradas en entregar un producto terminado. El Equipo de Producto Integrado IPT es un ejemplo temprano de este enfoque adoptado por el Departamento de Defensa de Estados Unidos.
Describir el modelo de madurez del desarrollo de software. Sepa que el modelo de madurez está diseñado para ayudar a las organizaciones a mejorar la madurez y la calidad del proceso de desarrollo de software mediante el desarrollo de procesos de software caóticos y ad hoc en procesos de desarrollo de software maduros y estandarizados. Capacidad para describir modelos SW-CMM, IDEAL y SAMM.
Comprender la importancia de la gestión de cambios y configuración. Conozca los tres componentes básicos del proceso de gestión de cambios (control de solicitudes, control de cambios y control de versiones) y cómo contribuyen a la seguridad. Explique cómo la gestión de la configuración controla las versiones de software utilizadas en una organización. Comprenda cómo la auditoría y el registro de cambios pueden mitigar el riesgo organizacional.
Comprender la importancia de las pruebas. Las pruebas de software deben diseñarse como parte del proceso de desarrollo de software. Las pruebas de software deben utilizarse como herramienta de gestión para mejorar los procesos de diseño, desarrollo y producción.
Explique el papel de DevOps y DevSecOps en la empresa moderna. El enfoque DevOps busca integrar el desarrollo de software y las operaciones de TI apoyando la automatización y la colaboración entre equipos. El enfoque DevSecOps amplía el modelo DevOps al introducir actividades de operaciones de seguridad en un modelo integrado. La tecnología de integración y entrega continua (CICD) automatiza los procesos de DevOps y DevSecOps.
Comprender el papel de las diferentes herramientas de codificación en el ecosistema de desarrollo de software. Los desarrolladores escriben código en diferentes lenguajes de programación y luego lo compilan en lenguaje de máquina o lo ejecutan a través de un intérprete. Los desarrolladores pueden utilizar conjuntos de herramientas de desarrollo de software y entornos de desarrollo integrados para facilitar el proceso de codificación. Las bibliotecas de software crean código compartido y reutilizable, mientras que los repositorios de código proporcionan una plataforma de gestión para el proceso de desarrollo de software.
Explicar el impacto del software de adquisiciones en la organización. Las organizaciones pueden comprar software comercial listo para usar (COTS) para satisfacer sus necesidades o utilizar software gratuito de código abierto (OSS). Este software amplía la superficie de ataque potencial y requiere revisiones y pruebas de seguridad.
Preguntas de revisión
1. Christine está ayudando a su organización a implementar código mediante un enfoque Devops. ¿Cuál de las siguientes opciones no pertenece a ¿Uno de los tres componentes del modelo DevOps? A. Seguridad de la información B. Desarrollo de software C. Garantía de calidad D. Operaciones de TI
A
2.Bob está desarrollando una aplicación de software que tiene un cuadro de entrada donde el usuario puede ingresar una fecha. Quiere asegurarse de que el valor proporcionado por el usuario sea una fecha exacta en caso de que surjan problemas de seguridad. ¿Cuál de las siguientes técnicas debería adoptar Bob? A. Creación de instancias múltiples B. Validación de entrada C.Contaminación D. Detección
B
3. Vincent es un desarrollador de software que trabaja en una acumulación de tareas de cambio. No estaba seguro de qué tareas deberían tener la máxima prioridad. ¿Qué parte del proceso de gestión del cambio le ayuda a priorizar las tareas? A. Control de liberación B. Control de distribución C. Solicitar control D. Auditoría de cambios
C El control de solicitudes brinda la oportunidad de priorizar estas solicitudes. Request Control proporciona un marco organizado para que los usuarios soliciten cambios La auditoría de cambios se utiliza para garantizar que el entorno de producción sea coherente con el registro de cambios.
4 Frank está realizando un análisis de riesgos de su entorno de desarrollo de software y quiere introducir un enfoque de gestión de fallas que coloque el sistema en un alto nivel de seguridad en caso de una falla. ¿Qué método debería utilizar? A. Fallo de apertura B. Supresión de fallos C. Fallo cerrado D. Eliminación de fallos
C Cerrado ante fallos: el sistema permanece en un nivel de seguridad alto hasta que interviene un administrador. Error de apertura: nivel de seguridad bajo, control deshabilitado hasta que se resuelva Supresión de fallas: Reduzca el impacto de las fallas
5. ¿Qué modelo de desarrollo de software utiliza un enfoque de 7 fases con un circuito de retroalimentación y permite volver a la fase anterior? A. Boyce-Codd B. Modelo de cascada C. Modelo espiral D.Desarrollo ágil
B
6. Jane utiliza técnicas de modelado de amenazas para realizar evaluaciones de amenazas al formular requisitos de seguridad para un paquete de software que su equipo está desarrollando. Según el Modelo de Madurez de Software Assurance (SAMM), ¿en qué función empresarial participa? A.Gobernanza B. Diseño C. Implementación D. Verificar
B parte de la función de diseño
7. ¿Cuál de las siguientes claves se utiliza para imponer restricciones de integridad referencial entre tablas de bases de datos? A. Clave del candidato B. Clave primaria C. Clave externa D. Clave alternativa
C Clave candidata: puede usarse como clave principal Clave alternativa: no seleccionada como clave principal Claves externas: aplicar restricciones de integridad referencial entre tablas de bases de datos
8. Richard cree que un usuario de una base de datos abusa de sus privilegios para consultar y combinar datos de una gran cantidad de registros para obtener Obtenga información sobre las tendencias comerciales generales de la empresa. ¿Cuál es el proceso utilizado por los usuarios de esta base de datos? A. Razonamiento B. contaminación C. Creación de instancias múltiples D. Agregación
D
9. ¿Qué tipo de tecnología de base de datos puede evitar que usuarios no autorizados obtengan secretos porque no tienen acceso a información normalmente accesible? ¿información? A. Razonamiento B. Manipulación C. Creación de instancias múltiples D. Agregación
C Creación de instancias múltiples: permite insertar múltiples registros que parecen tener el mismo valor de clave principal en la base de datos con diferentes niveles de clasificación.
10. ¿Cuál de los siguientes no es un principio de desarrollo ágil? A. Entregar continuamente temprano para satisfacer a los clientes. B. Los empresarios y los desarrolladores colaboran entre sí. C. Búsqueda incesante de la excelencia técnica D. Priorizar la seguridad sobre otras necesidades
D
11 ¿Qué información se utiliza para formar la base del proceso de toma de decisiones de un sistema experto? A. Una serie de cálculos jerárquicos ponderados. B. Combinar aportes de un gran grupo de expertos humanos, ponderados según el desempeño anterior. C. Una serie de reglas si/entonces compiladas en una base de conocimientos D. Un proceso biológico de toma de decisiones que imita los procesos de razonamiento utilizados por la mente humana.
C
12. En el Modelo de Madurez de Capacidad de Software SW-CMM, ¿en qué etapa llega una organización al punto en el que puede utilizar métodos cuantitativos para obtener una comprensión detallada del proceso de desarrollo? A. Nivel inicial B. Nivel repetible C.Nivel de definición D.Nivel de gestión
D
13. ¿Cuál de las siguientes opciones actúa como proxy entre una aplicación y una base de datos para respaldar la interacción y simplificar el trabajo del programador? A.SDLC B.ODBC C.PCIDSS D. resumen
B
14. ¿En qué prueba de software el evaluador tiene acceso al código fuente subyacente? A. Pruebas estáticas B. Pruebas dinámicas C. Pruebas de secuencias de comandos entre sitios D. Pruebas de caja negra
A Pruebas estáticas: pruebas de caja blanca Pruebas dinámicas: un ejemplo de prueba de caja negra
15. ¿Qué tipo de cuadro proporciona una ilustración gráfica de la programación para ayudar a planificar, coordinar y realizar un seguimiento de las tareas del proyecto? A. Diagrama de Gantt B. Diagrama de Venn C. Gráfico de barras D.PERT
A
16. ¿Cuál de los siguientes tipos de riesgos de seguridad existen en una base de datos cuando los datos de un nivel de clasificación superior se mezclan con datos de un nivel de clasificación inferior? A. Agregación B. Razonamiento C.Contaminación D. Creación de instancias múltiples
C Palabras originales del libro.
17. Tonya está realizando una evaluación de riesgos de los paquetes de software de terceros utilizados dentro de su organización. Ella planea comprar un producto de un proveedor que es muy popular en su industria. ¿Qué término describe mejor este software? Un código abierto B. Desarrollo personalizado C. Planificación de recursos empresariales (ERP) D. Comercial listo para usar
D
18. ¿Cuál de los siguientes no forma parte del proceso de gestión de cambios? A. Solicitar control B. Control de liberación C. Auditoría de configuración D.Control de cambios
C
19. ¿Qué principios de gestión de transacciones garantizan que dos transacciones no interfieran entre sí cuando operan con los mismos datos? A. Atomicidad B. Consistencia C. Aislamiento D.Persistencia
C Atomicidad: si parte de la transacción falla, se debe revertir toda la transacción Consistencia: la base de datos siempre debe estar en condiciones de cargar las reglas del modelo de base de datos. Durabilidad: las transacciones comprometidas con la base de datos deben preservarse
20. Tom creó una tabla de base de datos que contiene nombres, números de teléfono e identificaciones de clientes relacionados con el negocio. Esta tabla también contiene información sobre 30 clientes. ¿Cuál es el "grado" de esta tabla? R.2 B.3 C.30 D.Indefinido
B Columna de grados de fila de cardinalidad