1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2025年安全开发生命周期专家考试题库(附答案和详细解析)(0927).docxVIP

2025年安全开发生命周期专家考试题库(附答案和详细解析)(0927).docx

此“教育”领域文档为创作者个人分享资料,不作为权威性指导和指引,仅供参考
    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    安全开发生命周期(SDL)专家考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    安全开发生命周期(SDL)的核心目标是:

    A.降低软件开发成本

    B.在开发后期集中修复安全漏洞

    C.将安全融入软件开发的全生命周期

    D.仅关注代码层面的安全问题

    答案:C

    解析:SDL的核心是通过在需求、设计、开发、测试、部署等每个阶段嵌入安全活动(如安全需求分析、威胁建模、安全测试等),实现全生命周期的安全保障。A错误,SDL可能增加初期成本但降低后期修复成本;B错误,SDL强调“左移”(ShiftLeft),而非后期集中修复;D错误,SDL覆盖从需求到维护的全流程,不仅是代码层面。

    以下哪项是微软SDL框架的标志性活动?

    A.每周安全会议

    B.安全开发生命周期培训

    C.第三方库漏洞扫描

    D.最终产品安全审查(FinalSecurityReview)

    答案:D

    解析:微软SDL框架的关键活动包括安全培训、需求定义、威胁建模、安全编码规范、安全测试、最终产品安全审查(FSR)等。其中FSR是发布前的强制性活动,确保所有安全要求被满足。A、B、C是通用安全实践,非微软SDL特有。

    威胁建模的经典方法STRIDE中,“I”代表的是:

    A.信息泄露(InformationDisclosure)

    B.篡改(Tampering)

    C.抵赖(Repudiation)

    D.身份仿冒(Spoofing)

    答案:B

    解析:STRIDE是威胁分类的首字母缩写:S(Spoofing,身份仿冒)、T(Tampering,篡改)、R(Repudiation,抵赖)、I(InformationDisclosure,信息泄露)、D(DenialofService,拒绝服务)、E(ElevationofPrivilege,权限提升)。因此“I”对应信息泄露,B选项描述错误。

    静态代码分析(SAST)的主要局限性是:

    A.无法检测未运行的代码路径

    B.依赖运行时环境

    C.仅能检测已知漏洞模式

    D.对复杂逻辑的误报率低

    答案:A

    解析:SAST通过分析源代码或字节码检测漏洞(如注入、缓冲区溢出),但无法验证未实际执行的代码路径(如条件分支未覆盖的代码)。B错误,DAST(动态分析)依赖运行时环境;C错误,SAST可通过规则库检测已知模式,也能发现逻辑缺陷;D错误,SAST对复杂逻辑可能产生高误报。

    安全需求的主要来源不包括:

    A.业务功能需求文档

    B.法律法规(如GDPR)

    C.行业最佳实践(如OWASPTop10)

    D.用户界面设计规范

    答案:D

    解析:安全需求需从合规要求(如GDPR)、威胁分析结果、行业标准(如OWASP)、业务特性(如支付系统的交易安全)中提取。用户界面设计规范(如交互流程)属于功能需求,不直接生成安全需求。

    以下哪项属于SDL部署阶段的关键活动?

    A.安全编码规范培训

    B.生产环境漏洞扫描

    C.威胁建模更新

    D.安全需求评审

    答案:B

    解析:部署阶段的核心是确保生产环境的安全,包括环境配置审计、漏洞扫描、监控系统部署等。A(开发阶段)、C(设计/开发阶段)、D(需求阶段)均不属于部署阶段。

    软件成分分析(SCA)的主要目的是:

    A.检测代码中的逻辑漏洞

    B.识别第三方库的已知漏洞

    C.评估系统架构的安全风险

    D.验证安全测试覆盖率

    答案:B

    解析:SCA通过分析项目依赖的第三方库(如NPM、Maven包),识别其中已知的CVE漏洞或许可证风险,属于供应链安全管理的关键活动。A是SAST的目标,C是威胁建模的目标,D是测试阶段的目标。

    以下哪项不符合“安全左移”原则?

    A.在需求阶段定义安全验收标准

    B.在开发阶段进行单元测试时加入安全用例

    C.在发布前集中进行漏洞修复

    D.在设计阶段完成威胁建模

    答案:C

    解析:“安全左移”强调将安全活动提前到开发早期(需求、设计、开发阶段),而非后期集中处理。C属于传统“补丁式”修复,违背左移原则。

    合规性测试的核心依据是:

    A.开发团队的内部规范

    B.行业安全标准(如ISO27001)

    C.用户的功能需求文档

    D.代码的性能指标

    答案:B

    解析:合规性测试需验证系统是否符合法律法规(如GDPR)、行业标准(如ISO27001)或合同中的安全要求。A、C、D均非合规性测试的核心依据。

    以下哪项是SDL维护阶段的关键活动?

    A.发布后的漏洞响应与修复

    B.初始威胁建模

    C.安全编码培训

    D.生产环境部署

    答案:A

    解析:维护阶段的核心是持续监控系统运行状态,处理用户反馈的漏洞,发布安全补丁。B(设计阶段)、C(开发阶段)、D(部署阶段)均不属于维护阶段。

    二、多项选择题(共10题,每题2分,共20分)

    安全开发生

    您可能关注的文档

    最近下载

    文档评论(0)

    eureka + 关注
    实名认证
    文档贡献者

    中国证券投资基金业从业证书、计算机二级持证人

    好好学习,天天向上

    咨询Ta 进入空间
    领域认证该用户于2025年03月25日上传了中国证券投资基金业从业证书、计算机二级

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >