Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Finalidade deste documento
Este guia de estudo explica o que esperar do exame e inclui um resumo dos tópicos que ele pode abranger, além de links para recursos adicionais. As informações e os materiais neste documento devem ajudá-lo a se concentrar nos estudos enquanto você se prepara para o exame.
| Links úteis | Descrição |
|---|---|
| Renovação de certificação | As certificações de associado, especialista e especialidade da Microsoft expiram anualmente. Você pode fazer a renovação passando por uma avaliação online gratuita no Microsoft Learn. |
| Seu perfil do Microsoft Learn | Ao conectar seu perfil de certificação ao Microsoft Learn, é possível agendar e renovar exames, além de compartilhar e imprimir certificados. |
| Pontuação do exame e relatórios de pontuação | Para ser aprovado, é necessário obter uma pontuação de 700 ou mais. |
| Área restrita do exame | Você pode explorar o ambiente do exame visitando nosso espaço de simulação do exame. |
| Solicitação de acomodações | Se você usar dispositivos assistenciais, exigir tempo extra ou precisar de modificação em qualquer parte da experiência do exame, poderá solicitar uma acomodação. |
Sobre o exame
Alguns exames são traduzidos para outros idiomas e são atualizados aproximadamente oito semanas após a versão em inglês ser atualizada. Embora a Microsoft se esforce para atualizar as versões localizadas de um exame conforme o mencionado, pode haver situações em que elas não sejam atualizadas de acordo com o cronograma. Outros idiomas disponíveis estão listados na seção Agendar Exame da página da Web Detalhes do Exame. Se o exame não estiver disponível em seu idioma preferencial, você poderá solicitar mais 30 minutos para concluir o exame.
Note
Os marcadores que seguem cada uma das habilidades medidas destinam-se a ilustrar como estamos avaliando essa habilidade. Tópicos relacionados podem ser abordados no exame.
Note
A maioria das perguntas aborda recursos que estão em disponibilidade geral. O exame poderá conter perguntas sobre os recursos de versão prévia se esses recursos forem comumente usados.
Habilidades medidas a partir de julho de 2026
Perfil do público
Os candidatos a este exame têm experiência com o uso GitHub GHAS (Segurança Avançada) para proteger código, segredos e dependências em todo o ciclo de vida de desenvolvimento de software. Eles podem configurar recursos de segurança, fazer triagem e corrigir alertas e aplicar práticas de prevenção primeiro usando políticas, fluxos de trabalho e automação. Os candidatos estão familiarizados com conceitos básicos de GitHub, CI/CD e desenvolvimento seguro.
Habilidades em um relance
Descrever as suítes de segurança, os recursos e o ecossistema do GitHub (15–20%)
Configurar e usar a Proteção de segredos (anteriormente chamada de verificação de segredos) (15–20%)
Configurar e usar a segurança da cadeia de suprimentos (anteriormente Dependabot/Dependency Review) (15 a 20%)
Configurar e usar a Segurança de Código (anteriormente verificação de código com CodeQL) (10 a 15%)
Operações de segurança: práticas recomendadas, priorização e correção (15 a 20%)
GitHub Administração de pacotes de segurança (10 a 15%)
Descrever as suítes de segurança, os recursos e o ecossistema do GitHub (15–20%)
Entenda os conjuntos de segurança e a arquitetura do GitHub
Descrever a estrutura e navegação da suíte de segurança do GitHub
Segurança de código de contraste, proteção secreta e segurança da cadeia de suprimentos
Diferenciar a disponibilidade de recursos de segurança para repositórios públicos versus ambientes empresariais
Explicar recursos e benefícios da Visão Geral de Segurança
Aplicar SDLC seguro e estratégias de segurança
Explicar diferenças e interação entre a Proteção de Segredo e a Segurança de Código
Descreva o SDLC seguro de ponta a ponta usando as suites de segurança do GitHub
Comparar abordagens que priorizam a prevenção versus estratégias de segurança de perímetro
Explicar campanhas de segurança e seu papel na redução de riscos
Detectar, gerenciar e responder a alertas de segurança
Identificar mecanismos de detecção de vulnerabilidade e informações sensíveis
Escolha e aja em alertas de segurança (gerenciamento de alertas, políticas, fluxos de trabalho)
Explicar as implicações e as práticas recomendadas para ignorar ou descartar alertas
Descrever as responsabilidades de desenvolvedor, segurança e administrador para alertas e correção
Gerenciar o acesso, a governança e a segurança da cadeia de suprimentos
Explique o gerenciamento de acesso a alertas, as funções, a exceção delegada e a aplicação
Descrever conceitos de segurança da cadeia de suprimentos e informações de alerta em todo o SDLC
Configurar e usar a Proteção de segredos (anteriormente verificação de segredos) (15–20%)
Habilitar e configurar a Proteção Secreta
Habilitar GitHub Proteção Secreta nos níveis do repositório e da organização
Definir configurações de Proteção secreta e disponibilidade de recursos
Comparação do comportamento de proteção de segredos para repositórios públicos versus privados/empresariais
Impedir exposição secreta
Explique o que é a Proteção contra Push e como ela impede o vazamento de segredos na fonte
Descrever verificações de validade e alertas priorizados para segredos de alta confiança
Gerenciar e responder a alertas da Proteção Secreta
Descrever o ciclo de vida do alerta da Proteção Secreta (criação, status, demissão)
Responder a alertas secretos e aplicar ações de correção apropriadas
Explicar implicações e práticas recomendadas para descartar ou ignorar alertas
Controlar o acesso, as políticas e a personalização
Explique as políticas de exceção baseadas em funções e delegadas no Secret Protection
Configurar destinatários de alerta e exclusões
Criar e gerenciar padrões de segredo personalizados
Configurar e usar a segurança da cadeia de suprimentos (anteriormente Dependabot/Dependency Review) (15 a 20%)
Entender e gerenciar riscos de dependência e cadeia de suprimentos
Segurança de dependência abrangente (ferramentas, bancos de dados de vulnerabilidade, SBOMs)
Gerar e interpretar o grafo de dependência
Uso do SBOM: opções de exportação, formatos e contexto da cadeia de suprimentos
Detectar, priorizar e responder a alertas da cadeia de suprimentos
Alertas da cadeia de suprimentos e atualizações de segurança (priorização, pontuação do EPSS)
Resolução de alertas da cadeia de suprimentos por meio de campanhas e solicitações de pull
Comportamento de descarte automático e configuração da campanha de segurança
Proteger dependências durante o desenvolvimento
Revisão de dependência (verificações de pré-mesclagem, validação de licença e conformidade, configuração)
Regras avançadas de atualização de dependência (agrupamento, descarte automático, estratégias de atualização)
Configurar políticas, permissões e integrações
Permissões e atribuição de alerta baseada em função
Gerenciamento de fluxo de trabalho para dependência e segurança da cadeia de suprimentos
Notificações externas, webhooks e integrações de segurança
Configurar e usar a Segurança de Código (anteriormente verificação de código com CodeQL) (10 a 15%)
Entender as abordagens e ferramentas de verificação de código
Opções de verificação de código nativas e de terceiros
Escolher entre o CodeQL e as ferramentas de análise de terceiros
Ingestão, gerenciamento e interoperabilidade de arquivos SARIF
Configurar e definir a Segurança do Código
Habilitar a segurança de código usando sistemas de CI externos ou GitHub Actions
Configurar fluxos de trabalho e modelos de fluxo para análise de código
Usar construções de matriz e definir a frequência de verificação adequada
Analisar, fazer triagem e corrigir os resultados da verificação de código
Examinar os resultados da verificação, incluindo insights de análise de fluxo de dados
Ciclos de vida dos alertas, recursos de correção automática e fluxos de trabalho de correção
Ignorar alertas e gerenciar classificações de severidade e categoria
Otimizar e automatizar operações de Segurança de Código
Configuração e personalização avançadas
Solução de problemas de falhas de escaneamento e problemas de desempenho
Operações de segurança: práticas recomendadas, priorização e correção (15 a 20%)
Compreenda o contexto da vulnerabilidade e os frameworks de remediação
Conceitos de CVE, CWE e consulta de segurança do GitHub
Fluxos de trabalho de correção de ponta a ponta para alertas e avisos de segurança
Priorizar e gerenciar o trabalho de segurança em escala
Definir, priorizar e impor conjuntos de regras de severidade e correção
Estratégias de correção baseadas em campanha e gerenciamento de alertas em massa
Práticas automatizadas de dispensa de alertas e documentação
Personalizar e otimizar a detecção de segurança
Personalizando conjuntos de consultas do CodeQL e análise específica de linguagem
Personalizando a detecção de segurança para perfis de risco organizacional
Colaborar entre funções e impor governança
Funções de segurança, exceções delegadas e gestão de alertas
Colaboração em alertas e campanhas de segurança entre equipes
Conjuntos de regras, políticas e mecanismos de aplicação válidos para várias suítes
Shift-left e fortalecer a segurança preventiva
- Prevenção precoce de vulnerabilidades por meio de proteção contra push, verificação de dependências e análise pré-fusão
GitHub Administração de pacotes de segurança (10 a 15%)
Distribuir e gerenciar recursos de segurança em escala
Habilitar Soluções de Segurança do GitHub nos níveis empresarial, de organização e de repositório
Entender a disponibilidade de recursos e as diferenças entre GitHub Enterprise Cloud e GitHub Enterprise Server
Configurar recursos e padrões de segurança
Habilitar a Segurança de Código (CodeQL), a Proteção secreta e a segurança da cadeia de suprimentos
Definir configurações padrão e comportamento de herança
Definir fluxos de trabalho de governança, acesso e Segurança de Código
Definir os conjuntos de regras e políticas de segurança da empresa e da organização
Configurar limites de imposição, permissões de bypass e exceções
Definir funções de administrador, gerenciador de segurança e desenvolvedor
Configurar permissões para gerenciar e ignorar alertas de segurança
Habilitar e configurar fluxos de trabalho personalizados ou padrão do CodeQL
Entender as APIs e os métodos de automação para a configuração e a governança de segurança em larga escala
Gerenciar o CodeQL e a automação de segurança
Habilitar e configurar fluxos de trabalho personalizados ou padrão do CodeQL
Entender as APIs disponíveis e os métodos de automação para a configuração e a governança de segurança em larga escala
Recursos de estudo
Recomendamos que você treine e tenha experiência prática antes de fazer o exame. Oferecemos opções de auto-estudo e treinamento em sala de aula, bem como links para documentação, sites da comunidade e vídeos.
| Recursos de estudo | Links de aprendizado e documentação |
|---|---|
| Faça treinamento | Escolha entre caminhos de aprendizado e módulos autodirigidos ou faça um curso ministrado por instrutor no Microsoft Learn – GitHub Advanced Security Parte 1 e GitHub Advanced Security Parte 2 |
| Encontrar documentação |
Descrever os recursos e a funcionalidade de segurança do GHAS Configurar e usar a verificação secreta Configurar e usar Dependabot e Dependency Review Configurar e usar a Verificação de Código com CodeQL Descreva as práticas recomendadas do GitHub Advanced Security, os resultados e como tomar medidas corretivas |
| Faça uma pergunta | Discussões da comunidade do GitHub |
| Obter suporte da comunidade | Blog do GitHub |
| Siga GitHub |
Twitter |
| Encontrar um vídeo | YouTube |
Log de alterações
Este exame mudou significativamente (por exemplo, novos objetivos foram adicionados, alguns foram removidos, os objetivos existentes podem ter sido movidos para diferentes grupos funcionais e todos foram reformulados) em julho de 2026.