Perguntas de GitHub Advanced Security

GitHub Advanced Security

1. O que é CodeQL?
2. O que significa `shifting left` no contexto de Segurança?
3. O que são os Repository Security Advisories?
4. Qual ferramenta ajuda você a manter as dependências do repositório atualizadas?
5. Qual das opções a seguir é uma lista selecionada de vulnerabilidades de segurança encontradas em projetos de código aberto?
6. Quais dessas funcionalidades de segurança do GitHub estão disponíveis GRATUITAMENTE para repositórios pessoais, tanto públicos quanto privados? (Escolha quatro.)
7. Qual das opções abaixo descreve melhor o secret scanning?
8. Quais partes do repositório são escaneadas pela varredura de segredos? (Escolha duas.)
9. Qual é o objetivo do programa de parceiros do Secret scanning?
10. Repositórios públicos de usuários pessoais, assim como repositórios públicos de organizações, podem usar a varredura de segredos gratuitamente.
11. Como você pode evitar que commits contendo credenciais de provedores de nuvem sejam enviados para o GitHub?
12. Qual destas afirmativas é verdadeira sobre o programa de parceria do GitHub secret scanning? (Escolha três.)
13. Como você pode excluir certos diretórios ou arquivos da varredura de segredos?
14. Você incluiu alguns segredos falsos em seu código de teste e eles foram detectados pela varredura de segredos do GitHub. O que você pode fazer para informar ao GitHub que esses são segredos falsos usados em testes e podem ser ignorados pela varredura de segredos? (Escolha duas.)
15. Você acidentalmente cometeu seu token de acesso pessoal do GitHub em um repositório público. Quais ações você deve tomar para impedir que sua conta seja comprometida?
16. Qual é o comportamento quando um novo padrão de segredo é adicionado ou atualizado no programa de parceiros de varredura de segredos do GitHub?
17. Quem será notificado quando um NOVO segredo for enviado e detectado em um repositório? (Escolha cinco.)
18. Quando o GitHub realiza uma varredura de todo o código histórico nos repositórios da empresa, qual é o comportamento de notificação? (Selecione duas opções.)
19. O GitHub usa o mesmo conjunto de padrões de varredura de segredos para alertas de usuário e alertas de proteção de push?
20. Quais são os três diferentes conjuntos de padrões de varredura de segredos que o GitHub mantém? (Selecione três.)
21. Vários repositórios públicos para os quais você está contribuindo não têm a opção de proteção contra push de segredos habilitada. O que você pode fazer para se proteger contra o envio acidental de segredos para esses repositórios?
22. Sua empresa possui segredos internos que não devem ser enviados para os repositórios do GitHub. O padrão desses segredos não é reconhecido pelo GitHub e, portanto, não é detectado pela verificação de segredos. O que as empresas podem fazer para proteger seus desenvolvedores de enviar esses segredos acidentalmente para os repositórios em sua Organização do GitHub?
23. Que informações os alertas do Dependabot fornecem?
24. O que é o gráfico de dependências do GitHub?
25. O gráfico de dependências do GitHub está disponível gratuitamente para todos os repositórios?
26. Como o Dependency graph do GitHub sabe quais dependências seu projeto está utilizando? (Escolha duas.)
27. Quando o gráfico de dependências do GitHub para o seu repositório será atualizado? (Escolha duas.)
28. Em que formato você pode exportar o gráfico de dependências do GitHub do seu repositório?
29. Seu repositório pode usar o Dependency Graph sem usar os Dependabot Alerts?
30. Qual recurso é um pré-requisito para usar os Dependabot Alerts em um repositório?
31. Quais dessas afirmações sobre Dependabot Alerts são verdadeiras? (Escolha três.)
32. Quais são os principais benefícios do recurso Security Overview no GitHub?
33. O que é o CodeQL?
34. O que os alertas do Dependabot indicam no GitHub?
35. Qual é o propósito da análise de código no GitHub?
36. A verificação de segredos está disponível para repositórios públicos e privados no GitHub?
37. O que a configuração padrão da análise CodeQL no GitHub faz?
38. Qual é o principal objetivo de usar o CodeQL CLI?
39. Qual das seguintes linguagens NÃO é suportada pelo CodeQL para análise de código?
40. Como o CodeQL analisa o código no GitHub?
41. Como o CodeQL pode ser usado em um sistema CI externo junto com repositórios GitHub?
42. Qual dessas afirmações não é verdadeira sobre a verificação de segredos no GitHub?
43. Quais chaves de nível superior são obrigatórias no arquivo `dependabot.yml`?
44. Qual GitHub Action pode ser usada para fazer upload de um arquivo SARIF de terceiros?
45. Qual ferramenta pode ser usada em um sistema de CI de terceiros para fazer upload dos resultados de análise de código para o GitHub?
46. O que é necessário para um servidor de CI fazer upload de resultados SARIF para o GitHub?
47. O que acontece quando um segundo arquivo de resultados SARIF é enviado para o GitHub para um único commit?
48. Como os usuários podem excluir diretórios específicos dos alertas de varredura de segredos no GitHub?
49. Qual chave deve ser usada em um arquivo `secret_scanning.yml` para excluir diretórios dos alertas de verificação de segredos no GitHub?
50. Qual é o número máximo de padrões personalizados que podem ser definidos para a varredura de segredos no GitHub?
51. Preencha o espaço em branco: `GitHub __________ é um recurso que você pode usar para analisar o código em um repositório do GitHub para encontrar vulnerabilidades de segurança e erros de codificação.`
52. Qual recurso do GitHub Advanced Security permite encontrar, classificar e priorizar correções para problemas novos e existentes em seu código?
53. Como você pode habilitar a verificação de código para um repositório?
54. Como você pode configurar seu repositório GitHub para executar uma análise CodeQL em uma programação? (Escolha duas.)
55. Uma organização começou recentemente a usar a análise do CodeQL para todos os pull requests em seus repositórios, bem como a executar a análise em um agendamento horário. Desde então, eles estão enfrentando contas do GitHub Actions mais altas do que o normal. Qual é a causa mais provável disso?
56. Se você não quiser usar o GitHub Actions, pode executar a análise de código em um sistema CI externo e, em seguida, enviar os resultados para o GitHub.
57. Ao usar um sistema de CI de terceiros para executar a verificação de código, qual ferramenta do GitHub você precisa para analisar o código-fonte?
58. Ao usar o GitHub Actions como seu sistema de CI e uma ferramenta de terceiros para executar a análise de código, como você pode fazer o upload dos resultados SARIF para o GitHub?
59. Você pode usar a análise CodeQL com sistemas de CI de terceiros?
60. Qual destas afirmações é verdadeira sobre a verificação de código? (Escolha duas.)
61. Ao usar a análise do CodeQL no seu workflow do GitHub Actions, com que frequência a verificação é acionada?
62. Qual é o efeito de adicionar a palavra-chave `paths-ignore` ao seu fluxo de trabalho do GitHub Actions de varredura de código?
63. O CodeQL scanning suporta:
64. Para que são utilizadas as consultas CodeQL?
65. O que é QL?
66. O que é um conjunto de consultas do CodeQL?
67. Quais são os diferentes tipos de CodeQL packs? (Escolha três.)
68. O que é um CodeQL query pack?
69. Quais são as etapas do fluxo de trabalho de análise do CodeQL?
70. O que é extração no contexto da análise de código com CodeQL?
71. Quais dessas afirmações são verdadeiras em relação à execução da análise CodeQL em bases de código com múltiplas linguagens de programação? (Escolha duas.)
72. Quais são as diferenças ao executar a criação do banco de dados CodeQL para linguagens compiladas e interpretadas? (Escolha duas.)
73. Onde você pode ver quando foi executada a última análise do CodeQL ao usar a configuração padrão de varredura de código?
74. Quais das seguintes afirmações sobre a ativação da configuração padrão de varredura CodeQL são verdadeiras? (Escolha três.)
75. Como você pode personalizar sua configuração avançada de varredura do CodeQL com suítes de consultas CodeQL adicionais? (Escolha duas.)
76. Ao executar a análise CodeQL no GitHub Actions, quais Actions você deve usar? (Escolha três.)
77. Qual é o método mais simples para executar a análise do CodeQL simultaneamente para cada linguagem em um repositório multilíngue usando GitHub Actions?
78. Como você pode usar um arquivo de configuração personalizado do CodeQL em um fluxo de trabalho do GitHub Actions?
79. Onde você pode especificar as consultas do CodeQL a serem executadas em um workflow do GitHub Actions? (Escolha duas.)
80. Qual é o propósito do parâmetro `external-repository-token` na GitHub Action `github/codeql-action/init`?
81. Qual comando da CLI do CodeQL é usado para criar um banco de dados do CodeQL?
82. Qual é o propósito do comando `codeql database analyze` no CodeQL CLI?
83. Como parte do seu pipeline CI do Jenkins, você criou com sucesso e analisou um banco de dados CodeQL, produzindo assim um arquivo SARIF. Como você pode enviar o arquivo SARIF para o GitHub? (Escolha duas.)
84. Quais detalhes você pode encontrar em uma página de alerta de verificação de código? (Escolha três.)
85. Quais destas afirmações sobre a visualização dos resultados de uma análise CodeQL são verdadeiras? (Escolha duas.)
86. Quando um workflow do GitHub Actions com análise CodeQL detecta uma nova vulnerabilidade em um pull request, onde você pode encontrar as informações sobre essa vulnerabilidade?
87. Ao visualizar um alerta de varredura de código, para que serve a opção `Mostrar caminhos`?
88. O que significa descartar um alerta de verificação de código?
89. Qual destas NÃO é uma abordagem válida que pode ser adotada para reduzir o tempo de execução do fluxo de trabalho de análise do CodeQL?
90. Qual é o propósito de definir uma categoria SARIF?
91. Como você pode habilitar os recursos do GitHub Advanced Security no GitHub Enterprise Server? (Escolha duas.)
92. Como você pode habilitar os recursos do GitHub Advanced Security para todos os repositórios em uma organização no GitHub Enterprise Cloud?
93. Como mantenedor de um repositório, onde você deve colocar as instruções sobre como relatar uma vulnerabilidade de segurança no seu código?
94. O que é uma política de segurança do GitHub?
95. Como você pode definir uma política de segurança padrão para todos os repositórios na Organização GitHub `my-org`?
96. Qual endpoint da API pode ser usado para recuperar uma lista de todos os alertas do Dependabot para uma enterprise?
97. Qual endpoint da API pode ser usado para recuperar uma lista de todos os alertas de verificação de segredos para uma organização?
98. Qual endpoint da API pode ser usado para recuperar uma lista de todos os alertas de análise de código para um repositório?
99. Qual dessas afirmações define melhor uma dependência vulnerável?
100. O que são as atualizações de segurança do Dependabot?
101. Os Alertas do Dependabot estão ativados por padrão em:
102. Quem pode ativar os alertas do Dependabot em um repositório?
103. Qual é o nível de acesso mais baixo necessário para visualizar alertas do Dependabot em um repositório dentro de uma organização?
104. Para habilitar Dependabot Alerts em todos os repositórios de uma organização, você deve:
105. Qual das opções a seguir é um arquivo de configuração `dependabot.yml` válido?
106. Qual desses não é um canal suportado pelo GitHub para receber alertas do Dependabot?
107. O que são as regras de triagem automática do Dependabot?
108. Como você pode automatizar a suspensão de alertas de baixa gravidade do Dependabot?
109. Para ativar as atualizações de segurança do Dependabot em todos os repositórios de uma organização, você deve:
110. A ferramenta que verifica se um pull request introduz dependências com vulnerabilidades de segurança é chamada:
111. Você precisa habilitar o GitHub Actions para
112. O que significa `CVSS`?
113. O que significa `CVE`?
114. O que significa `CWE`?
115. Qual comando de comentário do Dependabot concluirá com sucesso um pull request?
116. Jobs que são executados em runners macOS hospedados pelo GitHub consomem minutos a uma taxa __ em comparação com runners Linux