原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
安全开发生命周期(SDL)专家考试试卷
一、单项选择题(共10题,每题1分,共10分)
安全开发生命周期(SDL)的核心原则是:
A.在开发后期集中处理安全问题
B.从需求阶段开始持续融入安全活动
C.仅依赖第三方安全工具完成检测
D.由安全团队独立负责所有安全任务
答案:B
解析:SDL强调“安全左移”,要求安全活动从需求分析阶段开始,并贯穿设计、开发、测试、发布、维护全周期(微软SDL框架核心原则)。A错误,因后期处理成本高且难以修复;C错误,工具是辅助手段,需结合人工分析;D错误,SDL要求开发、测试、安全团队协作。
以下哪项是威胁建模的常用方法?
A.FMEA(失效模式与影响分析)
B.STRIDE(威胁分类模型)
C.SWOT(优势-劣势-机会-威胁分析)
D.PDCA(计划-执行-检查-处理循环)
答案:B
解析:STRIDE(欺骗、篡改、否认、信息泄露、拒绝服务、权限提升)是经典的威胁建模分类方法(OWASP推荐)。A是可靠性工程方法;C是战略分析工具;D是质量管理循环,均不用于威胁建模。
静态代码分析(SAST)主要用于检测:
A.运行时内存泄漏
B.代码中的不安全编码模式
C.网络传输中的加密缺陷
D.用户输入验证漏洞
答案:B
解析:SAST通过扫描源代码或字节码,识别缓冲区溢出、SQL注入等静态编码缺陷(如OWASPTop10中的不安全编码模式)。A是动态分析(DAST)或运行时检测范围;C需协议分析工具;D需结合动态测试验证。
微软SDL框架中,“安全开发生命周期”的起始阶段是:
A.需求分析
B.架构设计
C.编码开发
D.系统测试
答案:A
解析:微软SDL明确要求从需求阶段定义安全需求(如“数据加密等级”“身份认证要求”),是后续安全活动的基础。其他阶段均晚于需求分析。
以下哪项不属于SDL中的“安全培训”内容?
A.常见漏洞(如XSS、CSRF)的原理
B.公司安全编码规范(如禁止硬编码密钥)
C.云平台(如AWS)的操作指南
D.威胁建模工具(如ThreatModeler)的使用
答案:C
解析:安全培训聚焦安全相关技能,云平台操作指南属于技术培训而非安全专项。A、B、D均直接关联SDL中的安全能力建设。
软件发布前的“安全验收测试”核心目标是:
A.验证功能符合用户需求
B.确保所有已知漏洞已修复
C.评估系统性能瓶颈
D.审计代码提交记录完整性
答案:B
解析:安全验收测试是发布前的最后关卡,需确认高风险漏洞已修复(如CVE漏洞、SDL强制修复项)。A是功能测试目标;C是性能测试;D是代码管理审计。
以下哪项是“软件成分分析(SCA)”的主要作用?
A.检测代码中的重复冗余模块
B.识别第三方依赖的已知漏洞
C.评估代码注释的完整性
D.分析数据库查询语句的效率
答案:B
解析:SCA通过扫描依赖库(如NPM、Maven包),匹配漏洞数据库(如CVE),发现第三方组件的已知风险(如Log4j2漏洞)。其他选项与SCA无关。
SDL中“安全需求”的主要来源不包括:
A.业务功能的用户使用场景
B.行业法规(如GDPR、HIPAA)
C.历史漏洞的统计分析
D.开发团队的技术偏好
答案:D
解析:安全需求需基于业务场景(如支付系统的交易安全)、法规合规(如个人信息保护)、历史漏洞(如过去频发的SQL注入)。开发团队偏好(如选择Java而非Python)不直接影响安全需求。
在SDL的“设计阶段”,关键安全活动是:
A.编写单元测试用例
B.制定安全编码规范
C.绘制数据流图(DFD)
D.部署Web应用防火墙(WAF)
答案:C
解析:设计阶段需通过数据流图(DFD)明确数据流向、信任边界,为威胁建模提供基础(微软SDL设计阶段要求)。A是开发阶段;B是开发前准备;D是运行时防护。
以下哪项属于“SDL持续改进”的典型实践?
A.发布后不再跟踪用户反馈
B.定期复盘历史漏洞的修复效率
C.仅在新版本发布时更新安全策略
D.开发人员无需参与漏洞修复复盘
答案:B
解析:持续改进要求通过漏洞复盘(如分析漏洞发现阶段、修复耗时)优化SDL流程(SANSSDL实践建议)。A、C、D均违背持续改进原则。
二、多项选择题(共10题,每题2分,共20分)
以下属于SDL核心阶段的有:()
A.需求分析
B.架构设计
C.用户培训
D.运行维护
答案:ABD
解析:SDL标准阶段包括需求、设计、开发、测试、发布、维护(OWASPSDL指南)。C是用户支持活动,不属于开发周期内的安全阶段。
威胁建模的主要步骤包括:()
A.识别系统资产
B.绘制数据流图
C.选择开发框架
D.评估威胁风险
答案:ABD
您可能关注的文档
- 2025年BIM工程师资格认证考试题库(附答案和详细解析)(1021).docx
- 2025年ESG分析师认证(CESGA)考试题库(附答案和详细解析)(1029).docx
- 2025年导游资格考试考试题库(附答案和详细解析)(1015).docx
- 2025年儿童发展指导师考试题库(附答案和详细解析)(1030).docx
- 2025年国际会展管理师考试题库(附答案和详细解析)(1015).docx
- 2025年会计专业技术资格考试题库(附答案和详细解析)(1010).docx
- 2025年美国注册会计师(AICPA)考试题库(附答案和详细解析)(1024).docx
- 2025年脑机接口研究员考试题库(附答案和详细解析)(1022).docx
- 2025年企业文化师考试题库(附答案和详细解析)(1028).docx
- 2025年青少年心理成长导师考试题库(附答案和详细解析)(1028).docx
文档评论(0)