2025年信息系统安全专家应用安全测试自动化与DevSecOps集成专题试卷及解析.pdfVIP

2025年信息系统安全专家应用安全测试自动化与DEVSECOPS集成专题试卷及解析1

2025年信息系统安全专家应用安全测试自动化与

DevSecOps集成专题试卷及解析

2025年信息系统安全专家应用安全测试自动化与DevSecOps集成专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在DevSecOps实践中，将安全测试工具集成到CI/CD流水线中时，以下哪种

做法最符合“安全左移”的理念？

A、仅在预发布环境中进行安全扫描

B、在开发人员提交代码后立即进行静态应用安全测试（SAST）

C、在应用上线后进行渗透测试

D、仅依赖第三方安全服务进行审计

【答案】B

【解析】正确答案是B。“安全左移”强调在开发早期阶段集成安全措施，B选项在代

码提交后立即进行SAST，符合这一理念。A选项仅在预发布环境测试，安全介入较晚；

C选项在上线后测试，属于被动防御；D选项依赖外部服务，缺乏持续性和主动性。知

识点：DevSecOps核心原则、安全左移。易错点：混淆“安全左移”与“安全右移”的适用

场景。

2、以下哪种工具最适合用于自动化检测Web应用中的SQL注入漏洞？

A、BurpSuite

B、OWASPZAP

C、Nessus

D、Metasploit

【答案】B

【解析】正确答案是B。OWASPZAP是开源的动态应用安全测试（DAST）工具，

专门用于自动化检测Web应用漏洞，包括SQL注入。A选项BurpSuite虽功能强

大，但更侧重手动测试；C选项Nessus是漏洞扫描器，主要用于系统级漏洞；D选项

Metasploit是渗透测试框架，不适合自动化检测。知识点：DAST工具选型、SQL注入

检测。易错点：误选BurpSuite，因其知名度高但自动化能力有限。

3、在DevSecOps流水线中，以下哪种指标最能有效衡量安全测试的覆盖率？

A、漏洞修复数量

B、代码中安全测试用例的执行比例

C、安全测试工具的运行时间

D、安全团队的响应时间

【答案】B

2025年信息系统安全专家应用安全测试自动化与DEVSECOPS集成专题试卷及解析2

【解析】正确答案是B。安全测试覆盖率直接反映测试的全面性，B选项通过执行

比例量化这一指标。A选项关注修复效果，非覆盖率；C选项关注效率，非覆盖范围；

D选项关注响应能力，与覆盖率无关。知识点：安全测试指标、覆盖率定义。易错点：

混淆覆盖率与修复率的概念。

4、以下哪种技术最适合用于实现容器镜像的安全扫描自动化？

A、静态代码分析

B、动态应用安全测试

C、镜像漏洞扫描工具（如Trivy）

D、网络流量分析

【答案】C

【解析】正确答案是C。镜像漏洞扫描工具专门用于检测容器镜像中的已知漏洞，符

合自动化需求。A选项针对源代码，非镜像；B选项针对运行时应用，非镜像；D选项

关注网络层，非镜像本身。知识点：容器安全、镜像扫描。易错点：误选A或B，因未

区分扫描对象。

5、在DevSecOps中，以下哪种方法最适合减少安全测试对CI/CD流水线性能的

影响？

A、仅在夜间运行安全测试

B、使用增量扫描技术

C、降低安全测试的频率

D、禁用耗时较长的测试

【答案】B

【解析】正确答案是B。增量扫描仅检测变更部分，显著减少资源消耗。A选项延迟

反馈，违背敏捷原则；C选项降低安全性；D选项可能遗漏关键漏洞。知识点：CI/CD

性能优化、增量扫描。易错点：误选A，因未考虑实时性需求。

6、以下哪种描述最准确地概括了“基础设施即代码”（IaC）在DevSecOps中的作用？

A、仅用于自动化部署

B、通过代码管理基础设施，并集成安全策略

C、替代传统安全工具

D、仅适用于云环境

【答案】B

【解析】正确答案是B。IaC的核心是通过代码管理基础设施，同时可嵌入安全策略

（如权限控制）。A选项描述片面；C选项错误，IaC是补充而非替代；D选项错误，IaC

也适用于本地环境。知识点：IaC概念、安全集成。易错点：误选A，因忽略安