1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2025年安全开发生命周期专家考试题库(附答案和详细解析)(1011).docxVIP

2025年安全开发生命周期专家考试题库(附答案和详细解析)(1011).docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    安全开发生命周期(SDL)专家考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    安全开发生命周期(SDL)的核心原则“安全左移”主要强调以下哪项?

    A.在部署阶段集中处理安全问题

    B.在开发流程早期介入安全活动

    C.仅由安全团队负责安全工作

    D.依赖第三方工具完成所有安全检测

    答案:B

    解析:“安全左移”是SDL的核心原则,指将安全活动(如需求分析、威胁建模)提前到开发流程的早期阶段(如需求、设计阶段),而非后期补救。选项A错误,因后期集中处理违背“左移”理念;选项C错误,SDL强调全员参与而非仅安全团队;选项D错误,工具是支撑而非替代人工。

    STRIDE威胁建模模型中,“T”代表的威胁类型是?

    A.信息泄露(InformationDisclosure)

    B.篡改(Tampering)

    C.否认(Repudiation)

    D.权限提升(ElevationofPrivilege)

    答案:B

    解析:STRIDE模型包含6类威胁:Spoofing(伪装)、Tampering(篡改)、Repudiation(否认)、InformationDisclosure(信息泄露)、DenialofService(拒绝服务)、ElevationofPrivilege(权限提升)。因此“T”对应Tampering(篡改)。其他选项中,A对应“I”,C对应“R”,D对应“E”,均错误。

    以下哪个阶段是SDL中威胁建模的主要实施阶段?

    A.需求分析阶段

    B.设计阶段

    C.编码阶段

    D.部署阶段

    答案:B

    解析:威胁建模需在系统设计时明确资产、数据流和潜在攻击面,因此主要在设计阶段进行。需求阶段(A)主要明确安全需求;编码阶段(C)侧重安全编码规范;部署阶段(D)侧重配置审计,均非威胁建模核心阶段。

    静态代码分析(SAST)工具主要用于SDL的哪个阶段?

    A.需求分析

    B.设计

    C.开发(编码)

    D.运维

    答案:C

    解析:SAST通过分析源代码检测潜在漏洞(如缓冲区溢出、SQL注入),适用于开发阶段(编码时或提交前)。需求(A)和设计(B)阶段无代码产出;运维(D)阶段侧重运行时监控,因此C正确。

    OWASPTop10列表的主要作用是?

    A.指导安全需求优先级排序

    B.定义开发人员编码规范

    C.提供漏洞修复的具体代码

    D.描述云原生架构的安全设计模式

    答案:A

    解析:OWASPTop10是全球通用的常见漏洞风险排名(如注入、身份验证失效),主要用于指导安全测试和需求优先级(如优先处理高风险漏洞)。B错误,编码规范需结合具体语言;C错误,不提供具体代码;D错误,云安全设计模式由其他框架(如CIS)定义。

    SDL中“安全需求分析”的主要输入不包括以下哪项?

    A.业务功能需求文档

    B.合规性要求(如GDPR)

    C.历史漏洞统计报告

    D.代码提交记录

    答案:D

    解析:安全需求分析需结合业务目标(A)、法律法规(B)和历史漏洞(C)推导具体安全要求(如数据加密等级)。代码提交记录(D)是开发阶段的产物,非需求分析输入。

    软件部署阶段的关键安全活动是?

    A.编写安全需求文档

    B.进行威胁建模

    C.实施配置审计

    D.开展渗透测试

    答案:C

    解析:部署阶段需确保环境配置符合安全标准(如防火墙规则、账户权限),因此配置审计(C)是关键。A属于需求阶段,B属于设计阶段,D属于测试阶段,均错误。

    以下哪项不属于SDL要求的必需文档?

    A.安全需求规格说明书

    B.威胁建模报告

    C.用户使用手册

    D.漏洞修复跟踪表

    答案:C

    解析:SDL文档需覆盖安全全流程,包括需求(A)、威胁建模(B)、漏洞管理(D)。用户使用手册(C)是用户指导文档,不直接属于SDL必需文档。

    安全验收测试的主要目标是?

    A.发现代码中的逻辑错误

    B.验证系统是否满足安全需求

    C.评估系统的性能上限

    D.测试用户界面的易用性

    答案:B

    解析:安全验收测试是交付前的最终验证,目标是确认系统符合预先定义的安全需求(如“用户密码必须加密存储”)。A是单元测试目标,C是性能测试目标,D是UAT目标,均错误。

    持续SDL(DevSecOps)的核心支撑技术是?

    A.人工安全审计

    B.自动化安全工具链

    C.第三方安全服务

    D.定期安全培训

    答案:B

    解析:DevSecOps强调安全与开发流程的深度融合,依赖自动化工具(如CI/CD中集成SAST、DAST)实现持续检测。人工审计(A)效率低,第三方服务(C)是补充,培训(D)是人员能力支撑,均非核心技术。

    二、多项选择题(共10题,每题2分,共20分)

    以下属于SDL关键原则的有?(至少2个正确选项)

    A.安全左移(ShiftLeft)

    B.持续安全验证

    您可能关注的文档

    最近下载

    文档评论(0)

    杜家小钰 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >