Preguntas de GitHub Advanced Security
GitHub Advanced Security
-
¿Qué es CodeQL?
-
¿Qué significa `shifting left` en el contexto de la seguridad?
-
¿Qué son los Repository Security Advisories?
-
¿Qué herramienta te ayuda a mantener actualizadas las dependencias del repository?
-
¿Cuál de los siguientes es una lista seleccionada de vulnerabilidades de seguridad encontradas en proyectos de código abierto?
-
¿Cuál de estas características de seguridad de GitHub están disponibles de forma GRATUITA para repositorios personales públicos y privados? (Elige cuatro.)
-
¿Cuál de estas opciones describe mejor el escaneo de secretos?
-
¿Qué partes del repositorio son escaneadas por secret scanning? (Elige dos).
-
¿Cuál es el propósito del programa de socios de escaneo de secretos?
-
Los repositorios públicos de usuarios personales, así como los repositorios públicos pertenecientes a organizaciones, pueden utilizar el escaneo de secretos de forma gratuita.
-
¿Cómo puedes evitar que se realicen commits con credenciales de proveedores de la nube en GitHub?
-
¿Cuál de estas afirmaciones es verdadera sobre el programa de asociación de escaneo de secretos de GitHub? (Elija tres.)
-
¿Cómo puedes excluir ciertos directorios o archivos del análisis de secretos?
-
Has incluido algunos secretos falsos en tu código de prueba y han sido detectados por el escaneo de secretos de GitHub. ¿Qué puedes hacer para indicarle a GitHub que estos son secretos falsos usados en pruebas y que pueden ser ignorados por el escaneo de secretos? (Elige dos.)
-
Has cometido accidentalmente tu token de acceso personal de GitHub en un repositorio público. ¿Qué acciones deberías tomar para evitar que tu cuenta sea comprometida?
-
¿Cuál es el comportamiento cuando se agrega o actualiza un nuevo patrón de secreto en el programa de socios de escaneo de secretos de GitHub?
-
¿Quién será notificado cuando se detecte un NUEVO secreto en un repositorio? (Elige cinco.)
-
Cuando GitHub realiza un análisis de todo el código histórico en los repositorios de la empresa, ¿cuál es el comportamiento de notificación? (Seleccione dos.)
-
¿GitHub utiliza el mismo conjunto de patrones de escaneo de secretos tanto para alertas de usuario como para alertas de protección en push?
-
¿Cuáles son los tres diferentes conjuntos de patrones de escaneo de secretos que GitHub mantiene? (Seleccione tres.)
-
Múltiples repositorios públicos a los que contribuyes no tienen habilitada la opción de protección de envío de secretos. ¿Qué puedes hacer para protegerte de enviar secretos accidentalmente a estos repositorios?
-
Tu empresa tiene secretos internos que no deben ser enviados a los GitHub repositories. El patrón de estos secretos no es conocido por GitHub y, por lo tanto, no es detectado por secret scanning. ¿Qué pueden hacer las empresas para proteger a sus desarrolladores de enviar estos secretos accidentalmente a los repositories en su GitHub Organization?
-
¿Qué información proporcionan las alertas de Dependabot?
-
¿Qué es el gráfico de dependencias de GitHub?
-
¿El gráfico de dependencias de GitHub está disponible de forma gratuita para todos los repositorios?
-
¿Cómo sabe GitHub Dependency graph qué dependencias está utilizando tu proyecto? (Elige dos.)
-
¿Cuándo se actualizará el gráfico de dependencias de GitHub para tu repositorio? (Elige dos.)
-
¿En qué formato puedes exportar el gráfico de dependencias de GitHub de tu repository?
-
¿Puede tu repository usar Dependency Graph sin usar Dependabot Alerts?
-
¿Qué función es un requisito previo para usar Dependabot Alerts en un repositorio?
-
¿Cuáles de estas afirmaciones sobre Dependabot Alerts son verdaderas? (Elige tres.)
-
¿Cuáles son los principales beneficios de la función Security Overview en GitHub?
-
¿Qué es CodeQL?
-
¿Qué indican las alertas de Dependabot en GitHub?
-
¿Cuál es el propósito del escaneo de código en GitHub?
-
¿Está disponible el análisis de secretos tanto para repositorios públicos como privados en GitHub?
-
¿Qué hace la configuración predeterminada del análisis de CodeQL en GitHub?
-
¿Cuál es el propósito principal de usar la CLI de CodeQL?
-
¿Cuál de los siguientes lenguajes NO es compatible con CodeQL para el escaneo de código?
-
¿Cómo analiza CodeQL el código en GitHub?
-
¿Cómo se puede utilizar CodeQL en un sistema CI externo junto con repositorios de GitHub?
-
¿Cuál de estas afirmaciones no es verdadera sobre el escaneo de secretos en GitHub?
-
¿Qué claves de nivel superior son necesarias en el archivo `dependabot.yml`?
-
¿Qué GitHub Action se puede usar para subir un archivo SARIF de terceros?
-
¿Qué herramienta se puede usar en un sistema de CI de terceros para subir resultados de análisis de código a GitHub?
-
¿Qué se requiere para que un servidor de CI cargue resultados SARIF en GitHub?
-
¿Qué ocurre cuando se sube un segundo archivo de resultados SARIF a GitHub para un único commit?
-
¿Cómo pueden los usuarios excluir directorios específicos de las alertas de análisis de secretos en GitHub?
-
¿Qué clave debe utilizarse en un archivo `secret_scanning.yml` para excluir directorios de las alertas de escaneo de secretos en GitHub?
-
¿Cuál es el número máximo de patrones personalizados que se pueden definir para la detección de secretos en GitHub?
-
Completa el espacio en blanco: `GitHub __________ es una función que puedes usar para analizar el código en un repositorio de GitHub y encontrar vulnerabilidades de seguridad y errores de codificación.`
-
¿Qué función de GitHub Advanced Security te permite encontrar, clasificar y priorizar soluciones para problemas nuevos y existentes en tu código?
-
¿Cómo puedes habilitar el análisis de código para un repositorio?
-
¿Cómo puedes configurar tu repositorio de GitHub para ejecutar un análisis de CodeQL en un programa? (Elige dos.)
-
Una organización ha comenzado recientemente a usar el análisis de CodeQL para todas las pull requests en sus repositorios, así como a ejecutar el análisis en un horario por hora. Desde entonces, están experimentando facturas de GitHub Actions más altas de lo habitual. ¿Cuál es la causa más probable de esto?
-
Si no deseas usar GitHub Actions, puedes ejecutar el análisis de código en un sistema de CI externo y luego subir los resultados a GitHub.
-
Cuando se utiliza un sistema de CI de terceros para ejecutar un escaneo de código, ¿qué herramienta de GitHub necesitas para analizar la base de código?
-
Cuando usas GitHub Actions como tu sistema de CI y una herramienta de terceros para ejecutar el escaneo de código, ¿cómo puedes subir los resultados SARIF a GitHub?
-
¿Puedes usar el análisis de CodeQL con sistemas de CI de terceros?
-
¿Cuál de estas afirmaciones es verdadera sobre el escaneo de código? (Elige dos.)
-
Cuando utilizas el análisis de CodeQL en tu flujo de trabajo de GitHub Actions, ¿con qué frecuencia se activa el escaneo?
-
¿Cuál es el efecto de agregar la palabra clave `paths-ignore` a tu flujo de trabajo de escaneo de código con GitHub Actions?
-
El análisis con CodeQL es compatible con:
-
¿Para qué se utilizan las consultas de CodeQL?
-
¿Qué es QL?
-
¿Qué es un conjunto de consultas CodeQL?
-
¿Cuáles son los diferentes tipos de paquetes de CodeQL? (Elige tres.)
-
¿Qué es un paquete de consultas de CodeQL?
-
¿Cuáles son los pasos del flujo de trabajo de análisis de CodeQL?
-
¿Qué es la extracción en el contexto del análisis de código CodeQL?
-
¿Cuáles de estas afirmaciones son ciertas con respecto a ejecutar un análisis de CodeQL en bases de código con múltiples lenguajes de programación? (Elige dos.)
-
¿Cuáles son las diferencias cuando se ejecuta la creación de bases de datos de CodeQL para lenguajes compilados e interpretados? (Elige dos.)
-
¿Dónde puedes ver cuándo se ejecutó por última vez el análisis de CodeQL al usar la configuración predeterminada de escaneo de código?
-
¿Cuáles de las siguientes afirmaciones sobre la activación de la configuración predeterminada de análisis de CodeQL son verdaderas? (Elige tres.)
-
¿Cómo puedes personalizar tu configuración avanzada de escaneo de CodeQL con conjuntos de consultas adicionales de CodeQL? (Elige dos.)
-
Cuando ejecutas un análisis de CodeQL en GitHub Actions, ¿qué Actions deberías usar? (Elige tres.)
-
¿Cuál es el método más simple para ejecutar un análisis de CodeQL de forma concurrente para cada lenguaje en un repositorio multi-lenguaje utilizando GitHub Actions?
-
¿Cómo puedes usar un archivo de configuración personalizado de CodeQL en un flujo de trabajo de GitHub Actions?
-
¿Dónde puedes especificar las consultas de CodeQL para ejecutar en un workflow de GitHub Actions? (Elige dos).
-
¿Cuál es el propósito del parámetro `external-repository-token` en la acción de GitHub `github/codeql-action/init`?
-
¿Qué comando CLI de CodeQL se utiliza para crear una base de datos de CodeQL?
-
¿Cuál es el propósito del comando `codeql database analyze` en CodeQL CLI?
-
Como parte de tu pipeline de integración continua en Jenkins, has creado y analizado con éxito una base de datos CodeQL, produciendo así un archivo SARIF. ¿Cómo puedes subir el archivo SARIF a GitHub? (Elige dos).
-
¿Qué detalles puedes encontrar en una página de alerta de escaneo de código? (Elige tres.)
-
¿Cuáles de estas afirmaciones sobre la visualización de los resultados de un análisis de CodeQL son verdaderas? (Elija dos.)
-
Cuando un flujo de trabajo de GitHub Actions de análisis de CodeQL detecta una nueva vulnerabilidad en un pull request, ¿dónde puedes encontrar la información sobre esa vulnerabilidad?
-
Al ver una alerta de análisis de código, ¿para qué se utiliza la opción `Mostrar rutas`?
-
¿Qué significa descartar una alerta de análisis de código?
-
¿Cuál de estos NO es un enfoque válido que se puede tomar para reducir el tiempo que tarda en completarse el flujo de trabajo de análisis de CodeQL?
-
¿Cuál es el propósito de definir una categoría SARIF?
-
¿Cómo puedes habilitar las funciones de GitHub Advanced Security en GitHub Enterprise Server? (Elige dos.)
-
¿Cómo puedes habilitar las funciones de GitHub Advanced Security para todos los repositories en una organización en GitHub Enterprise Cloud?
-
Como mantenedor de un repository, ¿dónde deberías poner las instrucciones sobre cómo reportar una vulnerabilidad de seguridad en tu código base?
-
¿Qué es una política de seguridad de GitHub?
-
¿Cómo puedes establecer una política de seguridad predeterminada para todos los repositorios en la Organización de GitHub `my-org`?
-
¿Qué endpoint de la API se puede utilizar para recuperar una lista de todas las alertas de Dependabot para una enterprise?
-
¿Qué endpoint de la API se puede utilizar para recuperar una lista de todas las alertas de análisis de secretos para una organización?
-
¿Qué endpoint de API se puede usar para recuperar una lista de todas las alertas de análisis de código en un repositorio?
-
¿Cuál de estas afirmaciones define mejor una dependencia vulnerable?
-
¿Qué son las actualizaciones de seguridad de Dependabot?
-
Las alertas de Dependabot están habilitadas por defecto en:
-
¿Quién puede habilitar las alertas de Dependabot en un repositorio?
-
¿Cuál es el nivel de acceso más bajo necesario para ver las alertas de Dependabot en un repositorio dentro de una organización?
-
Para habilitar Dependabot Alerts en todos los repositories de una organización, deberías:
-
¿Cuál de estos es un archivo de configuración válido de `dependabot.yml`?
-
¿Cuál de estos no es un canal admitido por GitHub para recibir alertas de Dependabot?
-
¿Qué son las reglas de auto-triage de Dependabot?
-
¿Cómo puedes automatizar la desestimación de alertas de baja gravedad de Dependabot?
-
Para habilitar las actualizaciones de seguridad de Dependabot en todos los repositorios de una organización, debes:
-
La herramienta que verifica si una pull request introduce dependencias con vulnerabilidades de seguridad se llama:
-
Necesitas habilitar GitHub Actions para
-
¿Qué significa `CVSS`?
-
¿Qué significa `CVE`?
-
¿Qué significa `CWE`?
-
¿Qué comando de comentario de Dependabot completará con éxito un pull request?
-
Los trabajos que se ejecutan en runners de macOS alojados por GitHub consumen minutos a una tarifa __ que los runners de Linux consumen