2025年信息系统安全专家持续集成_持续部署管道安全专题试卷及解析.pdfVIP

2025年信息系统安全专家持续集成_持续部署管道安全专题试卷及解析1

2025年信息系统安全专家持续集成_持续部署管道安全专

题试卷及解析

2025年信息系统安全专家持续集成_持续部署管道安全专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在CI/CD管道中，以下哪项是防止供应链攻击最有效的措施？

A、使用最新的开发工具

B、实施依赖项扫描和签名验证

C、增加构建服务器数量

D、缩短部署周期

【答案】B

【解析】正确答案是B。依赖项扫描可以检测恶意代码，签名验证确保组件完整性，

这是防范供应链攻击的核心手段。A选项与安全无直接关系，C选项可能扩大攻击面，

D选项虽有益但非根本防护措施。知识点：供应链安全防护。易错点：误认为工具更新

或速度提升能解决安全问题。

2、DevSecOps实践中，“安全左移”的核心含义是？

A、将安全团队移到开发团队左侧工位

B、在开发早期阶段集成安全措施

C、优先修复左侧菜单的安全漏洞

D、使用左侧菜单的安全工具

【答案】B

【解析】正确答案是B。“安全左移”指在开发生命周期早期（左侧）嵌入安全实践。

A/C/D选项为字面误解。知识点：DevSecOps核心理念。易错点：将术语字面化而非

理解其方法论含义。

3、在CI/CD管道中，哪种凭证管理方式最符合零信任原则？

A、将凭证存储在代码仓库

B、使用短期动态令牌

C、共享管理员密码

D、明文记录在配置文件

【答案】B

【解析】正确答案是B。短期动态令牌符合零信任的”最小权限”和”持续验证”原则。

A/D选项存在泄露风险，C选项违反权限分离。知识点：零信任架构。易错点：忽视凭

证生命周期管理的重要性。

4、容器镜像扫描应在CI/CD哪个阶段执行？

A、代码提交前

2025年信息系统安全专家持续集成_持续部署管道安全专题试卷及解析2

B、镜像构建后

C、生产部署后

D、用户验收测试时

【答案】B

【解析】正确答案是B。镜像构建后扫描可及时发现漏洞，避免带病镜像进入后续

阶段。A选项无法检测镜像层问题，C/D选项为时已晚。知识点：容器安全最佳实践。

易错点：混淆代码扫描与镜像扫描的执行时机。

5、以下哪项不属于CI/CD管道的典型安全风险？

A、未加密的敏感数据传输

B、过期的SSL证书

C、开发人员使用Mac电脑

D、未限制的API访问权限

【答案】C

【解析】正确答案是C。开发设备类型与管道安全无直接关联。A/B/D选项均为实

际管道风险点。知识点：CI/CD风险识别。易错点：将无关因素纳入安全考量。

6、在GitOps工作流中，确保部署配置安全的关键措施是？

A、使用Git分支保护规则

B、强制所有提交通过HTTPS

C、要求提交信息包含安全关键词

D、限制Git仓库大小

【答案】A

【解析】正确答案是B。分支保护可防止未授权的配置变更。B选项基础但非关键，

C/D选项无实质安全作用。知识点：GitOps安全控制。易错点：忽视版本控制系统的

原生安全机制。

7、CI/CD管道中的”金丝雀发布”主要用于？

A、测试新功能性能

B、渐进式验证部署安全性

C、备份生产数据

D、监控服务器资源

【答案】B

【解析】正确答案是B。金丝雀发布通过小范围部署验证安全性和稳定性。A选项

非主要目的，C/D选项属于运维范畴。知识点：安全部署策略。易错点：混淆性能测试

与安全验证。

8、以下哪种工具最适合检测CI/CD管道中的硬编码凭证？

A、网络扫描器

2025年信息系统安全专家持续集成_持续部署管道安全专题试卷及解析3

B、静态代码分析工具

C、容器运行时监控

D、日志分析