2025年安全开发生命周期专家考试题库(附答案和详细解析)(1014).docxVIP

  • 0
  • 0
  • 约6.7千字
  • 约 11页
  • 2025-10-19 发布于上海
  • 举报

2025年安全开发生命周期专家考试题库(附答案和详细解析)(1014).docx

安全开发生命周期(SDL)专家考试试卷

一、单项选择题(共10题,每题1分,共10分)

安全开发生命周期(SDL)的起始阶段通常是以下哪一阶段?

A.需求阶段

B.设计阶段

C.开发阶段

D.测试阶段

答案:A

解析:SDL强调安全“左移”,即安全活动需尽早介入。需求阶段是SDL的起点,需明确安全需求(如合规、隐私、威胁场景),为后续阶段提供指导。设计、开发、测试阶段均晚于需求阶段。

STRIDE威胁模型中,“I”代表的威胁类型是?

A.篡改(Tampering)

B.信息泄露(InformationDisclosure)

C.否认(Repudiation)

D.权限提升(ElevationofPrivilege)

答案:B

解析:STRIDE是威胁建模的经典方法,六个字母分别代表:S(假冒)、T(篡改)、R(否认)、I(信息泄露)、D(拒绝服务)、E(权限提升)。因此“I”对应信息泄露。

静态应用安全测试(SAST)主要针对以下哪类对象?

A.运行中的应用程序

B.源代码或二进制代码

C.网络流量

D.用户行为日志

答案:B

解析:SAST通过分析源代码、字节码或二进制代码检测潜在漏洞(如缓冲区溢出、SQL注入),属于“白盒测试”;运行中的应用由DAST(动态测试)分析,网络流量和日志属于运维监控范畴。

以下哪项是SDL的核心原则?

A.安全仅由安全团队负责

B.安全措施在发布前一次性完成

C.安全左移(ShiftLeft)

D.漏洞修复优先于功能开发

答案:C

解析:SDL的核心原则包括“安全左移”(早期介入)、“持续安全”(贯穿全周期)、“全员责任”(开发、测试、产品等共同参与)。其他选项均错误:安全需全员参与;安全活动需持续而非一次性;功能与安全需平衡。

安全需求的主要来源不包括以下哪项?

A.法律法规(如GDPR)

B.历史漏洞数据

C.用户隐私偏好

D.竞争对手产品功能

答案:D

解析:安全需求需基于合规要求(如GDPR)、历史漏洞(避免重复)、用户隐私(如数据最小化)。竞争对手功能属于业务需求,与安全无直接关联。

威胁建模的主要输出成果是?

A.代码质量报告

B.威胁列表与缓解措施

C.性能测试指标

D.用户使用手册

答案:B

解析:威胁建模通过分析系统资产、威胁主体、攻击路径,输出具体威胁(如“用户认证绕过”)及对应的缓解措施(如“启用多因素认证”)。其他选项属于开发或测试阶段的输出。

运行时防护(如WAF、RASP)主要应用于SDL的哪个阶段?

A.设计阶段

B.开发阶段

C.发布阶段

D.运维阶段

答案:D

解析:运维阶段关注系统上线后的持续安全,运行时防护(如实时拦截攻击)是该阶段的关键活动。设计、开发、发布阶段主要处理预防和验证。

安全编码规范的主要目的是?

A.提高代码运行效率

B.预防常见安全漏洞(如XSS、SQLi)

C.简化代码维护

D.符合代码风格统一要求

答案:B

解析:安全编码规范(如OWASP编码指南)通过规定安全的代码写法(如输入验证、转义输出),直接降低漏洞发生率。效率、维护、风格是次要目标。

动态应用安全测试(DAST)的典型场景是?

A.分析未编译的源代码

B.模拟攻击者对运行中的系统发起测试

C.检查第三方库漏洞

D.验证配置文件的安全性

答案:B

解析:DAST是“黑盒测试”,通过模拟攻击(如发送恶意请求)检测运行中系统的漏洞(如CSRF、路径遍历)。源代码分析是SAST,第三方库检查是SCA,配置验证是合规审计。

SDL成熟度模型(如BSIMM)的最高阶段特征是?

A.安全活动随机执行

B.安全流程标准化

C.安全能力持续优化

D.安全仅满足基本合规

答案:C

解析:BSIMM等成熟度模型将SDL能力分为初始级(随机)、管理级(标准化)、定义级(量化)、优化级(持续改进)。最高阶段是持续优化,通过数据驱动改进安全流程。

二、多项选择题(共10题,每题2分,共20分)

以下属于SDL核心原则的有?

A.安全左移(ShiftLeft)

B.持续安全(Securitythroughout)

C.全员责任(Sharedresponsibility)

D.事后补救(Fixafterrelease)

答案:ABC

解析:SDL强调预防而非事后补救(D错误),核心原则包括早期介入(左移)、全周期覆盖(持续)、开发/测试/安全等多角色共同负责(全员责任)。

威胁建模的常用方法包括?

A.STRIDE

B.PASTA(攻击模拟与威胁分析)

C.Trike

D.SWOT分析

答案:ABC

解析:STRIDE、PASTA、Trike均为专业威胁建模方法;SWOT分析用于企业战略评估,

文档评论(0)

1亿VIP精品文档

相关文档