1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2025年安全开发生命周期专家考试题库(附答案和详细解析)(1014).docxVIP

  • 0
  • 0
  • 约6.7千字
  • 约 11页
  • 2025-10-19 发布于上海
  • 举报

2025年安全开发生命周期专家考试题库(附答案和详细解析)(1014).docx

    安全开发生命周期(SDL)专家考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    安全开发生命周期(SDL)的起始阶段通常是以下哪一阶段?

    A.需求阶段

    B.设计阶段

    C.开发阶段

    D.测试阶段

    答案:A

    解析:SDL强调安全“左移”,即安全活动需尽早介入。需求阶段是SDL的起点,需明确安全需求(如合规、隐私、威胁场景),为后续阶段提供指导。设计、开发、测试阶段均晚于需求阶段。

    STRIDE威胁模型中,“I”代表的威胁类型是?

    A.篡改(Tampering)

    B.信息泄露(InformationDisclosure)

    C.否认(Repudiation)

    D.权限提升(ElevationofPrivilege)

    答案:B

    解析:STRIDE是威胁建模的经典方法,六个字母分别代表:S(假冒)、T(篡改)、R(否认)、I(信息泄露)、D(拒绝服务)、E(权限提升)。因此“I”对应信息泄露。

    静态应用安全测试(SAST)主要针对以下哪类对象?

    A.运行中的应用程序

    B.源代码或二进制代码

    C.网络流量

    D.用户行为日志

    答案:B

    解析:SAST通过分析源代码、字节码或二进制代码检测潜在漏洞(如缓冲区溢出、SQL注入),属于“白盒测试”;运行中的应用由DAST(动态测试)分析,网络流量和日志属于运维监控范畴。

    以下哪项是SDL的核心原则?

    A.安全仅由安全团队负责

    B.安全措施在发布前一次性完成

    C.安全左移(ShiftLeft)

    D.漏洞修复优先于功能开发

    答案:C

    解析:SDL的核心原则包括“安全左移”(早期介入)、“持续安全”(贯穿全周期)、“全员责任”(开发、测试、产品等共同参与)。其他选项均错误:安全需全员参与;安全活动需持续而非一次性;功能与安全需平衡。

    安全需求的主要来源不包括以下哪项?

    A.法律法规(如GDPR)

    B.历史漏洞数据

    C.用户隐私偏好

    D.竞争对手产品功能

    答案:D

    解析:安全需求需基于合规要求(如GDPR)、历史漏洞(避免重复)、用户隐私(如数据最小化)。竞争对手功能属于业务需求,与安全无直接关联。

    威胁建模的主要输出成果是?

    A.代码质量报告

    B.威胁列表与缓解措施

    C.性能测试指标

    D.用户使用手册

    答案:B

    解析:威胁建模通过分析系统资产、威胁主体、攻击路径,输出具体威胁(如“用户认证绕过”)及对应的缓解措施(如“启用多因素认证”)。其他选项属于开发或测试阶段的输出。

    运行时防护(如WAF、RASP)主要应用于SDL的哪个阶段?

    A.设计阶段

    B.开发阶段

    C.发布阶段

    D.运维阶段

    答案:D

    解析:运维阶段关注系统上线后的持续安全,运行时防护(如实时拦截攻击)是该阶段的关键活动。设计、开发、发布阶段主要处理预防和验证。

    安全编码规范的主要目的是?

    A.提高代码运行效率

    B.预防常见安全漏洞(如XSS、SQLi)

    C.简化代码维护

    D.符合代码风格统一要求

    答案:B

    解析:安全编码规范(如OWASP编码指南)通过规定安全的代码写法(如输入验证、转义输出),直接降低漏洞发生率。效率、维护、风格是次要目标。

    动态应用安全测试(DAST)的典型场景是?

    A.分析未编译的源代码

    B.模拟攻击者对运行中的系统发起测试

    C.检查第三方库漏洞

    D.验证配置文件的安全性

    答案:B

    解析:DAST是“黑盒测试”,通过模拟攻击(如发送恶意请求)检测运行中系统的漏洞(如CSRF、路径遍历)。源代码分析是SAST,第三方库检查是SCA,配置验证是合规审计。

    SDL成熟度模型(如BSIMM)的最高阶段特征是?

    A.安全活动随机执行

    B.安全流程标准化

    C.安全能力持续优化

    D.安全仅满足基本合规

    答案:C

    解析:BSIMM等成熟度模型将SDL能力分为初始级(随机)、管理级(标准化)、定义级(量化)、优化级(持续改进)。最高阶段是持续优化,通过数据驱动改进安全流程。

    二、多项选择题(共10题,每题2分,共20分)

    以下属于SDL核心原则的有?

    A.安全左移(ShiftLeft)

    B.持续安全(Securitythroughout)

    C.全员责任(Sharedresponsibility)

    D.事后补救(Fixafterrelease)

    答案:ABC

    解析:SDL强调预防而非事后补救(D错误),核心原则包括早期介入(左移)、全周期覆盖(持续)、开发/测试/安全等多角色共同负责(全员责任)。

    威胁建模的常用方法包括?

    A.STRIDE

    B.PASTA(攻击模拟与威胁分析)

    C.Trike

    D.SWOT分析

    答案:ABC

    解析:STRIDE、PASTA、Trike均为专业威胁建模方法;SWOT分析用于企业战略评估,

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >