原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
安全开发生命周期(SDL)专家考试试卷
一、单项选择题(共10题,每题1分,共10分)
安全开发生命周期(SDL)的核心思想是:
A.在开发后期集中处理安全问题
B.将安全融入软件开发全生命周期
C.仅由安全团队负责安全保障
D.依赖第三方工具完成所有安全检测
答案:B
解析:SDL的核心是“安全左移”,强调将安全活动(如需求分析、威胁建模、安全测试等)贯穿于需求、设计、开发、测试、发布、运维的全生命周期,而非后期集中处理(A错误);安全需全员参与(C错误);第三方工具是辅助手段(D错误)。
以下哪项是需求阶段的关键安全活动?
A.代码静态扫描(SAST)
B.威胁建模(ThreatModeling)
C.渗透测试(PenetrationTesting)
D.漏洞修复优先级排序
答案:B
解析:需求阶段需明确安全需求并识别潜在威胁,威胁建模是核心活动(B正确);SAST属于开发阶段(A错误);渗透测试属于测试阶段(C错误);漏洞修复是测试或运维阶段(D错误)。
微软SDL模型中,“安全开发生命周期”首次提出的时间是:
A.1995年
B.2004年
C.2010年
D.2018年
答案:B
解析:微软于2004年正式发布SDL模型,作为应对频发安全漏洞的系统性方法(B正确);其他时间为干扰项。
以下哪种工具属于动态应用安全测试(DAST)?
A.SonarQube
B.OWASPZAP
C.FindBugs
D.Checkmarx
答案:B
解析:DAST通过模拟攻击测试运行中的应用,OWASPZAP是典型DAST工具(B正确);SonarQube、FindBugs、Checkmarx均为静态测试(SAST)工具(A、C、D错误)。
威胁建模的经典方法STRIDE中,“S”代表的是:
A.Spoofing(伪装)
B.Tampering(篡改)
C.Repudiation(抵赖)
D.InformationDisclosure(信息泄露)
答案:A
解析:STRIDE的六类威胁为:Spoofing(伪装)、Tampering(篡改)、Repudiation(抵赖)、InformationDisclosure(信息泄露)、DenialofService(拒绝服务)、ElevationofPrivilege(权限提升),故“S”代表伪装(A正确)。
SDL中“安全需求”的主要来源不包括:
A.行业法规(如GDPR)
B.用户隐私要求
C.开发团队的技术偏好
D.历史漏洞分析结果
答案:C
解析:安全需求需基于法规、用户需求、历史漏洞等客观因素(A、B、D正确);开发团队技术偏好属于开发效率范畴,非安全需求来源(C错误)。
以下哪项不属于SDL发布阶段的安全活动?
A.最终安全评审(FinalSecurityReview)
B.漏洞修复验证
C.安全配置基线部署
D.依赖库漏洞扫描(SCA)
答案:D
解析:依赖库漏洞扫描(SCA)通常在开发阶段或测试阶段进行(D错误);发布阶段需完成最终评审、修复验证、配置部署(A、B、C正确)。
SDL的“持续验证”原则强调:
A.仅在关键节点进行安全测试
B.安全测试覆盖开发全流程并重复执行
C.依赖自动化工具替代人工测试
D.只关注已知类型的漏洞
答案:B
解析:持续验证要求安全测试(如SAST、DAST、SCA)在需求、开发、测试等阶段持续进行,而非仅关键节点(A错误);自动化工具是辅助(C错误);需覆盖已知和未知漏洞(D错误)。
以下哪项是SDL运维阶段的核心安全活动?
A.安全编码规范培训
B.实时漏洞监控与响应
C.威胁建模更新
D.安全需求评审
答案:B
解析:运维阶段需监控运行时安全(如日志分析、入侵检测)并快速响应漏洞(B正确);培训属于开发前准备(A错误);威胁建模更新可能在需求或设计阶段(C错误);需求评审在需求阶段(D错误)。
以下哪种场景最符合SDL“最小权限原则”?
A.数据库管理员拥有所有表的读写权限
B.普通用户仅能访问个人数据
C.开发人员拥有生产环境完全控制权限
D.测试账户具备系统管理员权限
答案:B
解析:最小权限原则要求用户仅获得完成任务所需的最小权限(B正确);其他选项均授予了超出必要的权限(A、C、D错误)。
二、多项选择题(共10题,每题2分,共20分)
安全开发生命周期(SDL)的关键原则包括:
A.安全左移(ShiftLeft)
B.持续验证(ContinuousValidation)
C.全员参与(SecuritybyAll)
D.后期集中修复(FixLate)
答案:ABC
解析:SDL强调安全活动早期介入(左移)、全流
您可能关注的文档
- 2025年工业大数据分析师考试题库(附答案和详细解析)(1026).docx
- 2025年国际会展管理师考试题库(附答案和详细解析)(1027).docx
- 2025年活动策划师考试题库(附答案和详细解析)(1021).docx
- 2025年矫正社会工作师考试题库(附答案和详细解析)(1015).docx
- 2025年美国注册会计师(AICPA)考试题库(附答案和详细解析)(1020).docx
- 2025年清洁能源分析师考试题库(附答案和详细解析)(1029).docx
- 2025年思科认证网络专家(CCIE)考试题库(附答案和详细解析)(1030).docx
- 2025年注册电气工程师考试题库(附答案和详细解析)(1028).docx
- 2025年注册环保工程师考试题库(附答案和详细解析)(1024).docx
- 2025年注册噪声控制工程师考试题库(附答案和详细解析)(1028).docx
文档评论(0)