A definição de requisitos de segurança no início do ciclo de vida do software, como preconiza o SDL (Security Development Lifecycle), reduz o custo e o impacto das vulnerabilidades. Analise as afirmações a seguir:

I. A modelagem de ameaças no SDL ocorre antes da codificação e ajuda a identificar vetores de ataque.

II. SDL recomenda que as práticas de segurança sejam implementadas somente após a codificação.

III. O SDL substitui totalmente a necessidade de testes de penetração.

É correto o que se afirma em: