2025年信息系统安全专家敏捷与DevOps环境下的安全实践专题试卷及解析.pdfVIP

2025年信息系统安全专家敏捷与DEVOPS环境下的安全实践专题试卷及解析1

2025年信息系统安全专家敏捷与DevOps环境下的安全实

践专题试卷及解析

2025年信息系统安全专家敏捷与DevOps环境下的安全实践专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在敏捷开发环境中，安全实践最理想的时间点是？

A、项目发布前的安全测试阶段

B、项目启动时的需求分析阶段

C、贯穿整个开发周期的持续过程

D、项目完成后的维护阶段

【答案】C

【解析】正确答案是C。在敏捷和DevOps环境中，安全应该是持续的过程（DevSec-

Ops），而不是某个特定阶段的活动。A选项是传统瀑布模型的做法，不符合敏捷理念；

B选项虽然重要但不够全面；D选项为时已晚。知识点：DevSecOps核心理念。易错

点：容易选择B，认为早期介入最重要，但忽略了持续性的关键。

2、以下哪项是基础设施即代码（IaC）安全实践的核心原则？

A、定期手动检查配置文件

B、将安全策略嵌入代码模板

C、仅在部署时进行安全扫描

D、使用默认配置提高效率

【答案】B

【解析】正确答案是B。IaC安全强调将安全控制代码化，通过模板实现一致性。A

选项效率低下且易出错；C选项不符合”左移”原则；D选项默认配置通常存在安全风险。

知识点：IaC安全最佳实践。易错点：可能误选A，认为人工检查更可靠。

3、在CI/CD流水线中，静态应用安全测试（SAST）最适合部署在哪个阶段？

A、代码提交后的构建阶段

B、生产环境部署前

C、功能测试完成后

D、用户验收测试阶段

【答案】A

【解析】正确答案是A。SAST应在代码提交后立即执行，实现早期问题发现。B、

C、D选项都过于滞后，违背了快速反馈的敏捷原则。知识点：CI/CD安全测试策略。

易错点：容易选择B，认为越接近生产越重要。

4、以下哪种容器安全实践最能有效防止镜像漏洞？

A、使用官方基础镜像

2025年信息系统安全专家敏捷与DEVOPS环境下的安全实践专题试卷及解析2

B、定期更新镜像版本

C、实施镜像签名验证

D、限制容器运行权限

【答案】B

【解析】正确答案是B。定期更新是修复已知漏洞最直接有效的方法。A选项官方

镜像也可能存在漏洞；C选项主要解决供应链信任问题；D选项是运行时防护。知识

点：容器镜像安全。易错点：可能误选A，认为官方镜像更安全。

5、在敏捷团队中，安全冠军（SecurityChampion）的主要职责是？

A、承担所有安全测试工作

B、作为开发与安全团队的桥梁

C、编写所有安全相关代码

D、制定企业级安全策略

【答案】B

【解析】正确答案是B。安全冠军的核心作用是促进安全知识传播和协作。A、C选

项过于具体；D选项通常是安全架构师的职责。知识点：安全角色定义。易错点：容易

混淆安全冠军与安全工程师的职责。

6、以下哪项是威胁建模在敏捷开发中的最佳实践？

A、每个冲刺都进行完整威胁建模

B、仅对新功能进行增量建模

C、项目启动时一次性完成

D、委托外部专家定期执行

【答案】B

【解析】正确答案是B。敏捷环境适合增量式威胁建模，聚焦变更部分。A选项成

本过高；C选项无法适应变化；D选项缺乏持续性。知识点：敏捷威胁建模方法。易错

点：可能误选A，认为越全面越好。

7、在DevOps环境中，哪种方法最适合管理机密信息？

A、将机密存储在代码仓库

B、使用专用密钥管理系统

C、通过环境变量传递

D、硬编码在配置文件中

【答案】B

【解析】正确答案是B。专用系统提供集中管控和审计能力。A、D选项存在泄露风

险；C选项缺乏加密和访问控制。知识点：机密管理最佳实践。易错点：可能误选C，

认为环境变量足够安全。

8、安全自动化在CI/CD中的主要价值是？

2025年信息系