2025年信息系统安全专家容器与Kubernetes环境资产发现专题试卷及解析.pdfVIP

2025年信息系统安全专家容器与KUBERNETES环境资产发现专题试卷及解析1

2025年信息系统安全专家容器与Kubernetes环境资产发

现专题试卷及解析

2025年信息系统安全专家容器与Kubernetes环境资产发现专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在Kubernetes环境中，以下哪个命令可以列出集群中所有命名空间的Pod？

A、kubectlgetpods

B、kubectlgetpodsallnamespaces

C、kubectldescribepods

D、kubectlgetnodes

【答案】B

【解析】正确答案是B。kubectlgetpodsallnamespaces命令可以查看集群中所有命

名空间的Pod，这是资产发现的基础操作。A选项只能查看当前命名空间的Pod，C选

项用于查看Pod详细信息，D选项用于查看节点信息。知识点：Kubernetes基础命令。

易错点：容易忽略allnamespaces参数导致资产遗漏。

2、容器运行时接口（CRI）是Kubernetes与容器运行时交互的规范，以下哪个不

是主流的CRI实现？

A、containerd

B、CRIO

C、Docker

D、gVisor

【答案】D

【解析】正确答案是D。gVisor是用户态内核实现，不是CRI实现。A、B、C都是

主流CRI实现，其中Docker通过dockershim间接支持CRI。知识点：容器运行时生

态。易错点：容易混淆容器运行时和CRI实现的概念。

3、在容器安全扫描中，以下哪个工具主要用于镜像漏洞扫描？

A、Falco

B、Trivy

C、kubebench

D、OPAGatekeeper

【答案】B

【解析】正确答案是B。Trivy是专业的容器镜像漏洞扫描工具。A是运行时安全监

控工具，C是CIS基准检查工具，D是策略执行工具。知识点：容器安全工具链。易错

点：容易混淆不同安全工具的功能定位。

4、Kubernetes中的NetworkPolicy主要用于实现什么安全功能？

2025年信息系统安全专家容器与KUBERNETES环境资产发现专题试卷及解析2

A、镜像签名验证

B、网络流量控制

C、Pod安全策略

D、RBAC权限控制

【答案】B

【解析】正确答案是B。NetworkPolicy用于控制Pod间网络通信。A是镜像安全

功能，C已被废弃，D是权限管理。知识点：Kubernetes网络安全。易错点：容易与其

他安全策略混淆。

5、以下哪个Kubernetes资源对象最适合用于管理敏感配置数据？

A、ConfigMap

B、Secret

C、Deployment

D、Service

【答案】B

【解析】正确答案是B。Secret专门用于存储敏感数据。A存储非敏感配置，C是

工作负载控制器，D是网络服务。知识点：Kubernetes配置管理。易错点：容易忽视

Secret的加密存储特性。

6、在容器逃逸攻击中，以下哪个配置项最可能被利用？

A、readOnlyRootFilesystem

B、privileged:true

C、runAsNonRoot

D、allowPrivilegeEscalation:false

【答案】B

【解析】正确答案是B。privileged模式赋予容器主机权限，是高危配置。其他选项

都是安全加固配置。知识点：容器安全配置。易错点：容易忽略特权模式的风险等级。

7、以下哪个工具最适合用于Kubernetes集群资产清单生成？

A、kubectl

B、helm

C、kubespider

D、kubehunter

【答案】C

【解析】正确答案是C。kubespid