Preguntas de GitHub Advanced Security

GitHub Advanced Security

  1. ¿Qué es CodeQL?
  2. ¿Qué significa `shifting left` en el contexto de la seguridad?
  3. ¿Qué son los Repository Security Advisories?
  4. ¿Qué herramienta te ayuda a mantener actualizadas las dependencias del repository?
  5. ¿Cuál de los siguientes es una lista seleccionada de vulnerabilidades de seguridad encontradas en proyectos de código abierto?
  6. ¿Cuál de estas características de seguridad de GitHub están disponibles de forma GRATUITA para repositorios personales públicos y privados? (Elige cuatro.)
  7. ¿Cuál de estas opciones describe mejor el escaneo de secretos?
  8. ¿Qué partes del repositorio son escaneadas por secret scanning? (Elige dos).
  9. ¿Cuál es el propósito del programa de socios de escaneo de secretos?
  10. Los repositorios públicos de usuarios personales, así como los repositorios públicos pertenecientes a organizaciones, pueden utilizar el escaneo de secretos de forma gratuita.
  11. ¿Cómo puedes evitar que se realicen commits con credenciales de proveedores de la nube en GitHub?
  12. ¿Cuál de estas afirmaciones es verdadera sobre el programa de asociación de escaneo de secretos de GitHub? (Elija tres.)
  13. ¿Cómo puedes excluir ciertos directorios o archivos del análisis de secretos?
  14. Has incluido algunos secretos falsos en tu código de prueba y han sido detectados por el escaneo de secretos de GitHub. ¿Qué puedes hacer para indicarle a GitHub que estos son secretos falsos usados en pruebas y que pueden ser ignorados por el escaneo de secretos? (Elige dos.)
  15. Has cometido accidentalmente tu token de acceso personal de GitHub en un repositorio público. ¿Qué acciones deberías tomar para evitar que tu cuenta sea comprometida?
  16. ¿Cuál es el comportamiento cuando se agrega o actualiza un nuevo patrón de secreto en el programa de socios de escaneo de secretos de GitHub?
  17. ¿Quién será notificado cuando se detecte un NUEVO secreto en un repositorio? (Elige cinco.)
  18. Cuando GitHub realiza un análisis de todo el código histórico en los repositorios de la empresa, ¿cuál es el comportamiento de notificación? (Seleccione dos.)
  19. ¿GitHub utiliza el mismo conjunto de patrones de escaneo de secretos tanto para alertas de usuario como para alertas de protección en push?
  20. ¿Cuáles son los tres diferentes conjuntos de patrones de escaneo de secretos que GitHub mantiene? (Seleccione tres.)
  21. Múltiples repositorios públicos a los que contribuyes no tienen habilitada la opción de protección de envío de secretos. ¿Qué puedes hacer para protegerte de enviar secretos accidentalmente a estos repositorios?
  22. Tu empresa tiene secretos internos que no deben ser enviados a los GitHub repositories. El patrón de estos secretos no es conocido por GitHub y, por lo tanto, no es detectado por secret scanning. ¿Qué pueden hacer las empresas para proteger a sus desarrolladores de enviar estos secretos accidentalmente a los repositories en su GitHub Organization?
  23. ¿Qué información proporcionan las alertas de Dependabot?
  24. ¿Qué es el gráfico de dependencias de GitHub?
  25. ¿El gráfico de dependencias de GitHub está disponible de forma gratuita para todos los repositorios?
  26. ¿Cómo sabe GitHub Dependency graph qué dependencias está utilizando tu proyecto? (Elige dos.)
  27. ¿Cuándo se actualizará el gráfico de dependencias de GitHub para tu repositorio? (Elige dos.)
  28. ¿En qué formato puedes exportar el gráfico de dependencias de GitHub de tu repository?
  29. ¿Puede tu repository usar Dependency Graph sin usar Dependabot Alerts?
  30. ¿Qué función es un requisito previo para usar Dependabot Alerts en un repositorio?
  31. ¿Cuáles de estas afirmaciones sobre Dependabot Alerts son verdaderas? (Elige tres.)
  32. ¿Cuáles son los principales beneficios de la función Security Overview en GitHub?
  33. ¿Qué es CodeQL?
  34. ¿Qué indican las alertas de Dependabot en GitHub?
  35. ¿Cuál es el propósito del escaneo de código en GitHub?
  36. ¿Está disponible el análisis de secretos tanto para repositorios públicos como privados en GitHub?
  37. ¿Qué hace la configuración predeterminada del análisis de CodeQL en GitHub?
  38. ¿Cuál es el propósito principal de usar la CLI de CodeQL?
  39. ¿Cuál de los siguientes lenguajes NO es compatible con CodeQL para el escaneo de código?
  40. ¿Cómo analiza CodeQL el código en GitHub?
  41. ¿Cómo se puede utilizar CodeQL en un sistema CI externo junto con repositorios de GitHub?
  42. ¿Cuál de estas afirmaciones no es verdadera sobre el escaneo de secretos en GitHub?
  43. ¿Qué claves de nivel superior son necesarias en el archivo `dependabot.yml`?
  44. ¿Qué GitHub Action se puede usar para subir un archivo SARIF de terceros?
  45. ¿Qué herramienta se puede usar en un sistema de CI de terceros para subir resultados de análisis de código a GitHub?
  46. ¿Qué se requiere para que un servidor de CI cargue resultados SARIF en GitHub?
  47. ¿Qué ocurre cuando se sube un segundo archivo de resultados SARIF a GitHub para un único commit?
  48. ¿Cómo pueden los usuarios excluir directorios específicos de las alertas de análisis de secretos en GitHub?
  49. ¿Qué clave debe utilizarse en un archivo `secret_scanning.yml` para excluir directorios de las alertas de escaneo de secretos en GitHub?
  50. ¿Cuál es el número máximo de patrones personalizados que se pueden definir para la detección de secretos en GitHub?
  51. Completa el espacio en blanco: `GitHub __________ es una función que puedes usar para analizar el código en un repositorio de GitHub y encontrar vulnerabilidades de seguridad y errores de codificación.`
  52. ¿Qué función de GitHub Advanced Security te permite encontrar, clasificar y priorizar soluciones para problemas nuevos y existentes en tu código?
  53. ¿Cómo puedes habilitar el análisis de código para un repositorio?
  54. ¿Cómo puedes configurar tu repositorio de GitHub para ejecutar un análisis de CodeQL en un programa? (Elige dos.)
  55. Una organización ha comenzado recientemente a usar el análisis de CodeQL para todas las pull requests en sus repositorios, así como a ejecutar el análisis en un horario por hora. Desde entonces, están experimentando facturas de GitHub Actions más altas de lo habitual. ¿Cuál es la causa más probable de esto?
  56. Si no deseas usar GitHub Actions, puedes ejecutar el análisis de código en un sistema de CI externo y luego subir los resultados a GitHub.
  57. Cuando se utiliza un sistema de CI de terceros para ejecutar un escaneo de código, ¿qué herramienta de GitHub necesitas para analizar la base de código?
  58. Cuando usas GitHub Actions como tu sistema de CI y una herramienta de terceros para ejecutar el escaneo de código, ¿cómo puedes subir los resultados SARIF a GitHub?
  59. ¿Puedes usar el análisis de CodeQL con sistemas de CI de terceros?
  60. ¿Cuál de estas afirmaciones es verdadera sobre el escaneo de código? (Elige dos.)
  61. Cuando utilizas el análisis de CodeQL en tu flujo de trabajo de GitHub Actions, ¿con qué frecuencia se activa el escaneo?
  62. ¿Cuál es el efecto de agregar la palabra clave `paths-ignore` a tu flujo de trabajo de escaneo de código con GitHub Actions?
  63. El análisis con CodeQL es compatible con:
  64. ¿Para qué se utilizan las consultas de CodeQL?
  65. ¿Qué es QL?
  66. ¿Qué es un conjunto de consultas CodeQL?
  67. ¿Cuáles son los diferentes tipos de paquetes de CodeQL? (Elige tres.)
  68. ¿Qué es un paquete de consultas de CodeQL?
  69. ¿Cuáles son los pasos del flujo de trabajo de análisis de CodeQL?
  70. ¿Qué es la extracción en el contexto del análisis de código CodeQL?
  71. ¿Cuáles de estas afirmaciones son ciertas con respecto a ejecutar un análisis de CodeQL en bases de código con múltiples lenguajes de programación? (Elige dos.)
  72. ¿Cuáles son las diferencias cuando se ejecuta la creación de bases de datos de CodeQL para lenguajes compilados e interpretados? (Elige dos.)
  73. ¿Dónde puedes ver cuándo se ejecutó por última vez el análisis de CodeQL al usar la configuración predeterminada de escaneo de código?
  74. ¿Cuáles de las siguientes afirmaciones sobre la activación de la configuración predeterminada de análisis de CodeQL son verdaderas? (Elige tres.)
  75. ¿Cómo puedes personalizar tu configuración avanzada de escaneo de CodeQL con conjuntos de consultas adicionales de CodeQL? (Elige dos.)
  76. Cuando ejecutas un análisis de CodeQL en GitHub Actions, ¿qué Actions deberías usar? (Elige tres.)
  77. ¿Cuál es el método más simple para ejecutar un análisis de CodeQL de forma concurrente para cada lenguaje en un repositorio multi-lenguaje utilizando GitHub Actions?
  78. ¿Cómo puedes usar un archivo de configuración personalizado de CodeQL en un flujo de trabajo de GitHub Actions?
  79. ¿Dónde puedes especificar las consultas de CodeQL para ejecutar en un workflow de GitHub Actions? (Elige dos).
  80. ¿Cuál es el propósito del parámetro `external-repository-token` en la acción de GitHub `github/codeql-action/init`?
  81. ¿Qué comando CLI de CodeQL se utiliza para crear una base de datos de CodeQL?
  82. ¿Cuál es el propósito del comando `codeql database analyze` en CodeQL CLI?
  83. Como parte de tu pipeline de integración continua en Jenkins, has creado y analizado con éxito una base de datos CodeQL, produciendo así un archivo SARIF. ¿Cómo puedes subir el archivo SARIF a GitHub? (Elige dos).
  84. ¿Qué detalles puedes encontrar en una página de alerta de escaneo de código? (Elige tres.)
  85. ¿Cuáles de estas afirmaciones sobre la visualización de los resultados de un análisis de CodeQL son verdaderas? (Elija dos.)
  86. Cuando un flujo de trabajo de GitHub Actions de análisis de CodeQL detecta una nueva vulnerabilidad en un pull request, ¿dónde puedes encontrar la información sobre esa vulnerabilidad?
  87. Al ver una alerta de análisis de código, ¿para qué se utiliza la opción `Mostrar rutas`?
  88. ¿Qué significa descartar una alerta de análisis de código?
  89. ¿Cuál de estos NO es un enfoque válido que se puede tomar para reducir el tiempo que tarda en completarse el flujo de trabajo de análisis de CodeQL?
  90. ¿Cuál es el propósito de definir una categoría SARIF?
  91. ¿Cómo puedes habilitar las funciones de GitHub Advanced Security en GitHub Enterprise Server? (Elige dos.)
  92. ¿Cómo puedes habilitar las funciones de GitHub Advanced Security para todos los repositories en una organización en GitHub Enterprise Cloud?
  93. Como mantenedor de un repository, ¿dónde deberías poner las instrucciones sobre cómo reportar una vulnerabilidad de seguridad en tu código base?
  94. ¿Qué es una política de seguridad de GitHub?
  95. ¿Cómo puedes establecer una política de seguridad predeterminada para todos los repositorios en la Organización de GitHub `my-org`?
  96. ¿Qué endpoint de la API se puede utilizar para recuperar una lista de todas las alertas de Dependabot para una enterprise?
  97. ¿Qué endpoint de la API se puede utilizar para recuperar una lista de todas las alertas de análisis de secretos para una organización?
  98. ¿Qué endpoint de API se puede usar para recuperar una lista de todas las alertas de análisis de código en un repositorio?
  99. ¿Cuál de estas afirmaciones define mejor una dependencia vulnerable?
  100. ¿Qué son las actualizaciones de seguridad de Dependabot?
  101. Las alertas de Dependabot están habilitadas por defecto en:
  102. ¿Quién puede habilitar las alertas de Dependabot en un repositorio?
  103. ¿Cuál es el nivel de acceso más bajo necesario para ver las alertas de Dependabot en un repositorio dentro de una organización?
  104. Para habilitar Dependabot Alerts en todos los repositories de una organización, deberías:
  105. ¿Cuál de estos es un archivo de configuración válido de `dependabot.yml`?
  106. ¿Cuál de estos no es un canal admitido por GitHub para recibir alertas de Dependabot?
  107. ¿Qué son las reglas de auto-triage de Dependabot?
  108. ¿Cómo puedes automatizar la desestimación de alertas de baja gravedad de Dependabot?
  109. Para habilitar las actualizaciones de seguridad de Dependabot en todos los repositorios de una organización, debes:
  110. La herramienta que verifica si una pull request introduce dependencias con vulnerabilidades de seguridad se llama:
  111. Necesitas habilitar GitHub Actions para
  112. ¿Qué significa `CVSS`?
  113. ¿Qué significa `CVE`?
  114. ¿Qué significa `CWE`?
  115. ¿Qué comando de comentario de Dependabot completará con éxito un pull request?
  116. Los trabajos que se ejecutan en runners de macOS alojados por GitHub consumen minutos a una tarifa __ que los runners de Linux consumen