Perguntas de GitHub Advanced Security
GitHub Advanced Security
-
O que é CodeQL?
-
O que significa `shifting left` no contexto de Segurança?
-
O que são os Repository Security Advisories?
-
Qual ferramenta ajuda você a manter as dependências do repositório atualizadas?
-
Qual das opções a seguir é uma lista selecionada de vulnerabilidades de segurança encontradas em projetos de código aberto?
-
Quais dessas funcionalidades de segurança do GitHub estão disponíveis GRATUITAMENTE para repositórios pessoais, tanto públicos quanto privados? (Escolha quatro.)
-
Qual das opções abaixo descreve melhor o secret scanning?
-
Quais partes do repositório são escaneadas pela varredura de segredos? (Escolha duas.)
-
Qual é o objetivo do programa de parceiros do Secret scanning?
-
Repositórios públicos de usuários pessoais, assim como repositórios públicos de organizações, podem usar a varredura de segredos gratuitamente.
-
Como você pode evitar que commits contendo credenciais de provedores de nuvem sejam enviados para o GitHub?
-
Qual destas afirmativas é verdadeira sobre o programa de parceria do GitHub secret scanning? (Escolha três.)
-
Como você pode excluir certos diretórios ou arquivos da varredura de segredos?
-
Você incluiu alguns segredos falsos em seu código de teste e eles foram detectados pela varredura de segredos do GitHub. O que você pode fazer para informar ao GitHub que esses são segredos falsos usados em testes e podem ser ignorados pela varredura de segredos? (Escolha duas.)
-
Você acidentalmente cometeu seu token de acesso pessoal do GitHub em um repositório público. Quais ações você deve tomar para impedir que sua conta seja comprometida?
-
Qual é o comportamento quando um novo padrão de segredo é adicionado ou atualizado no programa de parceiros de varredura de segredos do GitHub?
-
Quem será notificado quando um NOVO segredo for enviado e detectado em um repositório? (Escolha cinco.)
-
Quando o GitHub realiza uma varredura de todo o código histórico nos repositórios da empresa, qual é o comportamento de notificação? (Selecione duas opções.)
-
O GitHub usa o mesmo conjunto de padrões de varredura de segredos para alertas de usuário e alertas de proteção de push?
-
Quais são os três diferentes conjuntos de padrões de varredura de segredos que o GitHub mantém? (Selecione três.)
-
Vários repositórios públicos para os quais você está contribuindo não têm a opção de proteção contra push de segredos habilitada. O que você pode fazer para se proteger contra o envio acidental de segredos para esses repositórios?
-
Sua empresa possui segredos internos que não devem ser enviados para os repositórios do GitHub. O padrão desses segredos não é reconhecido pelo GitHub e, portanto, não é detectado pela verificação de segredos. O que as empresas podem fazer para proteger seus desenvolvedores de enviar esses segredos acidentalmente para os repositórios em sua Organização do GitHub?
-
Que informações os alertas do Dependabot fornecem?
-
O que é o gráfico de dependências do GitHub?
-
O gráfico de dependências do GitHub está disponível gratuitamente para todos os repositórios?
-
Como o Dependency graph do GitHub sabe quais dependências seu projeto está utilizando? (Escolha duas.)
-
Quando o gráfico de dependências do GitHub para o seu repositório será atualizado? (Escolha duas.)
-
Em que formato você pode exportar o gráfico de dependências do GitHub do seu repositório?
-
Seu repositório pode usar o Dependency Graph sem usar os Dependabot Alerts?
-
Qual recurso é um pré-requisito para usar os Dependabot Alerts em um repositório?
-
Quais dessas afirmações sobre Dependabot Alerts são verdadeiras? (Escolha três.)
-
Quais são os principais benefícios do recurso Security Overview no GitHub?
-
O que é o CodeQL?
-
O que os alertas do Dependabot indicam no GitHub?
-
Qual é o propósito da análise de código no GitHub?
-
A verificação de segredos está disponível para repositórios públicos e privados no GitHub?
-
O que a configuração padrão da análise CodeQL no GitHub faz?
-
Qual é o principal objetivo de usar o CodeQL CLI?
-
Qual das seguintes linguagens NÃO é suportada pelo CodeQL para análise de código?
-
Como o CodeQL analisa o código no GitHub?
-
Como o CodeQL pode ser usado em um sistema CI externo junto com repositórios GitHub?
-
Qual dessas afirmações não é verdadeira sobre a verificação de segredos no GitHub?
-
Quais chaves de nível superior são obrigatórias no arquivo `dependabot.yml`?
-
Qual GitHub Action pode ser usada para fazer upload de um arquivo SARIF de terceiros?
-
Qual ferramenta pode ser usada em um sistema de CI de terceiros para fazer upload dos resultados de análise de código para o GitHub?
-
O que é necessário para um servidor de CI fazer upload de resultados SARIF para o GitHub?
-
O que acontece quando um segundo arquivo de resultados SARIF é enviado para o GitHub para um único commit?
-
Como os usuários podem excluir diretórios específicos dos alertas de varredura de segredos no GitHub?
-
Qual chave deve ser usada em um arquivo `secret_scanning.yml` para excluir diretórios dos alertas de verificação de segredos no GitHub?
-
Qual é o número máximo de padrões personalizados que podem ser definidos para a varredura de segredos no GitHub?
-
Preencha o espaço em branco: `GitHub __________ é um recurso que você pode usar para analisar o código em um repositório do GitHub para encontrar vulnerabilidades de segurança e erros de codificação.`
-
Qual recurso do GitHub Advanced Security permite encontrar, classificar e priorizar correções para problemas novos e existentes em seu código?
-
Como você pode habilitar a verificação de código para um repositório?
-
Como você pode configurar seu repositório GitHub para executar uma análise CodeQL em uma programação? (Escolha duas.)
-
Uma organização começou recentemente a usar a análise do CodeQL para todos os pull requests em seus repositórios, bem como a executar a análise em um agendamento horário. Desde então, eles estão enfrentando contas do GitHub Actions mais altas do que o normal. Qual é a causa mais provável disso?
-
Se você não quiser usar o GitHub Actions, pode executar a análise de código em um sistema CI externo e, em seguida, enviar os resultados para o GitHub.
-
Ao usar um sistema de CI de terceiros para executar a verificação de código, qual ferramenta do GitHub você precisa para analisar o código-fonte?
-
Ao usar o GitHub Actions como seu sistema de CI e uma ferramenta de terceiros para executar a análise de código, como você pode fazer o upload dos resultados SARIF para o GitHub?
-
Você pode usar a análise CodeQL com sistemas de CI de terceiros?
-
Qual destas afirmações é verdadeira sobre a verificação de código? (Escolha duas.)
-
Ao usar a análise do CodeQL no seu workflow do GitHub Actions, com que frequência a verificação é acionada?
-
Qual é o efeito de adicionar a palavra-chave `paths-ignore` ao seu fluxo de trabalho do GitHub Actions de varredura de código?
-
O CodeQL scanning suporta:
-
Para que são utilizadas as consultas CodeQL?
-
O que é QL?
-
O que é um conjunto de consultas do CodeQL?
-
Quais são os diferentes tipos de CodeQL packs? (Escolha três.)
-
O que é um CodeQL query pack?
-
Quais são as etapas do fluxo de trabalho de análise do CodeQL?
-
O que é extração no contexto da análise de código com CodeQL?
-
Quais dessas afirmações são verdadeiras em relação à execução da análise CodeQL em bases de código com múltiplas linguagens de programação? (Escolha duas.)
-
Quais são as diferenças ao executar a criação do banco de dados CodeQL para linguagens compiladas e interpretadas? (Escolha duas.)
-
Onde você pode ver quando foi executada a última análise do CodeQL ao usar a configuração padrão de varredura de código?
-
Quais das seguintes afirmações sobre a ativação da configuração padrão de varredura CodeQL são verdadeiras? (Escolha três.)
-
Como você pode personalizar sua configuração avançada de varredura do CodeQL com suítes de consultas CodeQL adicionais? (Escolha duas.)
-
Ao executar a análise CodeQL no GitHub Actions, quais Actions você deve usar? (Escolha três.)
-
Qual é o método mais simples para executar a análise do CodeQL simultaneamente para cada linguagem em um repositório multilíngue usando GitHub Actions?
-
Como você pode usar um arquivo de configuração personalizado do CodeQL em um fluxo de trabalho do GitHub Actions?
-
Onde você pode especificar as consultas do CodeQL a serem executadas em um workflow do GitHub Actions? (Escolha duas.)
-
Qual é o propósito do parâmetro `external-repository-token` na GitHub Action `github/codeql-action/init`?
-
Qual comando da CLI do CodeQL é usado para criar um banco de dados do CodeQL?
-
Qual é o propósito do comando `codeql database analyze` no CodeQL CLI?
-
Como parte do seu pipeline CI do Jenkins, você criou com sucesso e analisou um banco de dados CodeQL, produzindo assim um arquivo SARIF. Como você pode enviar o arquivo SARIF para o GitHub? (Escolha duas.)
-
Quais detalhes você pode encontrar em uma página de alerta de verificação de código? (Escolha três.)
-
Quais destas afirmações sobre a visualização dos resultados de uma análise CodeQL são verdadeiras? (Escolha duas.)
-
Quando um workflow do GitHub Actions com análise CodeQL detecta uma nova vulnerabilidade em um pull request, onde você pode encontrar as informações sobre essa vulnerabilidade?
-
Ao visualizar um alerta de varredura de código, para que serve a opção `Mostrar caminhos`?
-
O que significa descartar um alerta de verificação de código?
-
Qual destas NÃO é uma abordagem válida que pode ser adotada para reduzir o tempo de execução do fluxo de trabalho de análise do CodeQL?
-
Qual é o propósito de definir uma categoria SARIF?
-
Como você pode habilitar os recursos do GitHub Advanced Security no GitHub Enterprise Server? (Escolha duas.)
-
Como você pode habilitar os recursos do GitHub Advanced Security para todos os repositórios em uma organização no GitHub Enterprise Cloud?
-
Como mantenedor de um repositório, onde você deve colocar as instruções sobre como relatar uma vulnerabilidade de segurança no seu código?
-
O que é uma política de segurança do GitHub?
-
Como você pode definir uma política de segurança padrão para todos os repositórios na Organização GitHub `my-org`?
-
Qual endpoint da API pode ser usado para recuperar uma lista de todos os alertas do Dependabot para uma enterprise?
-
Qual endpoint da API pode ser usado para recuperar uma lista de todos os alertas de verificação de segredos para uma organização?
-
Qual endpoint da API pode ser usado para recuperar uma lista de todos os alertas de análise de código para um repositório?
-
Qual dessas afirmações define melhor uma dependência vulnerável?
-
O que são as atualizações de segurança do Dependabot?
-
Os Alertas do Dependabot estão ativados por padrão em:
-
Quem pode ativar os alertas do Dependabot em um repositório?
-
Qual é o nível de acesso mais baixo necessário para visualizar alertas do Dependabot em um repositório dentro de uma organização?
-
Para habilitar Dependabot Alerts em todos os repositórios de uma organização, você deve:
-
Qual das opções a seguir é um arquivo de configuração `dependabot.yml` válido?
-
Qual desses não é um canal suportado pelo GitHub para receber alertas do Dependabot?
-
O que são as regras de triagem automática do Dependabot?
-
Como você pode automatizar a suspensão de alertas de baixa gravidade do Dependabot?
-
Para ativar as atualizações de segurança do Dependabot em todos os repositórios de uma organização, você deve:
-
A ferramenta que verifica se um pull request introduz dependências com vulnerabilidades de segurança é chamada:
-
Você precisa habilitar o GitHub Actions para
-
O que significa `CVSS`?
-
O que significa `CVE`?
-
O que significa `CWE`?
-
Qual comando de comentário do Dependabot concluirá com sucesso um pull request?
-
Jobs que são executados em runners macOS hospedados pelo GitHub consomem minutos a uma taxa __ em comparação com runners Linux