原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
安全开发生命周期(SDL)专家考试试卷
一、单项选择题(共10题,每题1分,共10分)
安全开发生命周期(SDL)的核心原则是?
A.仅在开发阶段关注安全
B.安全需求优先于功能需求
C.安全活动贯穿软件开发全流程
D.依赖第三方组件无需安全审查
答案:C
解析:SDL的核心是“安全左移”,强调安全活动(如需求分析、威胁建模、测试等)需从项目启动(需求阶段)开始,贯穿需求、设计、开发、测试、发布、维护全生命周期。A错误,因SDL要求全流程关注;B错误,安全与功能需平衡而非绝对优先;D错误,第三方组件需进行安全审查(如SBOM管理)。
以下哪项是SDL中“威胁建模”的主要输出?
A.代码覆盖率报告
B.攻击场景与缓解措施
C.性能测试指标
D.用户需求文档
答案:B
解析:威胁建模(如STRIDE方法)的核心是识别系统可能面临的威胁(如假冒、篡改),分析攻击路径,并提出对应的缓解措施(如身份验证、输入校验)。A是测试工具输出;C是性能测试目标;D是需求阶段成果,均非威胁建模输出。
微软SDL(MicrosoftSDL)中,“安全培训”属于哪个阶段的关键活动?
A.需求阶段
B.设计阶段
C.开发阶段
D.发布阶段
答案:C
解析:微软SDL将“安全培训”列为开发阶段的强制活动,要求开发人员掌握安全编码规范(如OWASPTop10防护)。需求阶段关注安全需求收集,设计阶段关注架构安全,发布阶段关注最终安全验证,均不直接包含培训。
以下哪种工具属于SDL测试阶段的“动态应用安全测试(DAST)”工具?
A.SonarQube(SAST)
B.OWASPZAP
C.Dependency-Check(SCA)
D.FortifySCA(SAST)
答案:B
解析:DAST通过模拟攻击动态检测运行中的应用漏洞(如SQL注入、XSS),OWASPZAP是典型DAST工具。SAST(静态分析)工具(A、D)扫描源代码;SCA(软件成分分析)工具(C)检测第三方依赖漏洞,均不属于DAST。
SDL中“安全需求规格说明书(SRS)”的核心内容不包括?
A.数据隐私要求(如GDPR合规)
B.身份认证与授权机制
C.系统性能优化目标
D.异常处理与日志审计要求
答案:C
解析:安全需求规格说明书聚焦安全相关要求,如隐私合规(A)、认证授权(B)、日志审计(D)等;性能优化(C)属于功能/非功能需求,不属于安全需求核心内容。
以下哪项不符合SDL“最小权限原则”的实践?
A.数据库账户仅授予查询权限,无删除权限
B.应用服务以普通用户而非root权限运行
C.管理员账户使用复杂密码并定期轮换
D.所有用户默认拥有系统配置修改权限
答案:D
解析:最小权限原则要求用户/进程仅拥有完成任务所需的最小权限。D中“默认拥有配置修改权限”违反该原则,可能导致越权操作;A、B、C均符合最小权限实践。
OWASPSDL指南中,“安全编码规范”的主要作用是?
A.替代安全测试
B.减少常见编码漏洞(如缓冲区溢出)
C.提高代码运行效率
D.规范代码注释格式
答案:B
解析:安全编码规范(如CWETop25)通过定义安全的编码规则(如输入校验、安全API使用),从源头减少漏洞(如SQL注入、XSS)。A错误,测试不可替代;C是性能优化目标;D是代码规范但非安全核心。
SDL中“发布前安全评审”的重点不包括?
A.所有已知漏洞已修复或风险已评估
B.安全测试报告(如渗透测试)已通过
C.最终用户使用手册的编写进度
D.SBOM(软件物料清单)已完整生成
答案:C
解析:发布前评审关注安全合规性,包括漏洞修复(A)、测试结果(B)、SBOM完整性(D);用户手册编写(C)属于文档交付,非安全评审重点。
以下哪种场景最符合SDL“缺陷成本指数”理论?
A.需求阶段发现的漏洞修复成本为100元,发布后修复成本为10000元
B.开发阶段代码行数比需求阶段增加50%
C.测试阶段发现的漏洞数量是设计阶段的2倍
D.维护阶段的用户投诉量比发布阶段减少30%
答案:A
解析:缺陷成本指数理论指出,漏洞发现越晚,修复成本越高(如需求阶段修复成本为1,发布后可能达100倍)。A直接体现这一理论;B、C、D与成本无关。
SDL中“安全基线”的主要作用是?
A.定义项目开发的时间节点
B.设定所有阶段必须满足的最低安全要求
C.记录开发团队的安全培训次数
D.统计项目中的代码提交次数
答案:B
解析:安全基线是各阶段必须满足的最低安全标准(如“所有接口必须实现认证”“日志必须记录关键操作”),确保项目安全底线。A是项目管理基线;C、D是过程记录,均非安全基线核心。
二、多项选择题(共10题,每
您可能关注的文档
- 2025年注册林业工程师考试题库(附答案和详细解析)(1028).docx
- 2025年项目管理专业人士(PMP)考试题库(附答案和详细解析)(1010).docx
- 2025年注册交互设计师考试题库(附答案和详细解析)(1101).docx
- 2025年注册农业工程师考试题库(附答案和详细解析)(1101).docx
- 2025年教师资格证考试考试题库(附答案和详细解析)(1016).docx
- 2025年美国注册管理会计师(CMA)考试题库(附答案和详细解析)(1029).docx
- 2025年文物拍卖从业人员资格证考试题库(附答案和详细解析)(1029).docx
- 2025年执业医师资格考试考试题库(附答案和详细解析)(1026).docx
- 2025年体育经纪人资格证考试题库(附答案和详细解析)(1029).docx
- 2025年运动康复师考试题库(附答案和详细解析)(1013).docx
- 2025年智能对话系统工程师考试题库(附答案和详细解析)(1021).docx
- 2025年运动康复师考试题库(附答案和详细解析)(1031).docx
- 2025年注册风险控制师(CRC)考试题库(附答案和详细解析)(1014).docx
- 2025年智能机器人系统集成师考试题库(附答案和详细解析)(1028).docx
- 2025年思科认证网络工程师(CCNP)考试题库(附答案和详细解析)(1028).docx
- 2025年项目管理专业人士(PMP)考试题库(附答案和详细解析)(1021).docx
- 2025年职业生涯规划师考试题库(附答案和详细解析)(1030).docx
- 2025年精算师考试题库(附答案和详细解析)(1030).docx
- 2025年监理工程师考试题库(附答案和详细解析)(1026).docx
- 2025年数字化转型师考试题库(附答案和详细解析)(1029).docx
文档评论(0)