原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
安全开发生命周期(SDL)专家考试试卷
一、单项选择题(共10题,每题1分,共10分)
安全开发生命周期(SDL)的核心起源于以下哪家公司的实践?
A.谷歌(Google)
B.微软(Microsoft)
C.亚马逊(Amazon)
D.脸书(Facebook)
答案:B
解析:SDL的概念最早由微软在2004年正式提出,通过《安全开发生命周期》文档系统化推广,旨在通过流程化方法降低软件安全风险。其他选项公司虽有类似实践,但非起源。
在SDL的需求分析阶段,最关键的安全活动是?
A.代码静态分析(SAST)
B.威胁建模(ThreatModeling)
C.渗透测试(PenetrationTesting)
D.依赖库漏洞扫描(SCA)
答案:B
解析:需求阶段的核心是明确安全需求,威胁建模通过STRIDE等方法识别系统资产和潜在威胁,为后续阶段提供安全需求输入。SAST和SCA属于开发或测试阶段,渗透测试属于测试阶段。
以下哪项是威胁建模中“STRIDE”方法的“E”所代表的威胁类型?
A.信息泄露(Exposure)
B.否认(Repudiation)
C.权限提升(ElevationofPrivilege)
D.篡改(Tampering)
答案:C
解析:STRIDE是威胁分类模型,分别代表假冒(Spoofing)、篡改(Tampering)、否认(Repudiation)、信息泄露(InformationDisclosure)、拒绝服务(DenialofService)、权限提升(ElevationofPrivilege)。“E”对应权限提升。
以下哪项是CERT安全编码规范的核心目标?
A.提升代码运行效率
B.防止常见编程错误导致的安全漏洞
C.规范代码注释格式
D.优化代码版本控制流程
答案:B
解析:CERT(美国卡内基梅隆大学软件工程研究所)发布的安全编码规范(如CERTC/C++规范)旨在通过规则约束(如输入验证、内存管理)避免缓冲区溢出、注入等漏洞,核心是预防安全缺陷。
静态代码分析(SAST)工具的主要特点是?
A.在代码运行时检测漏洞
B.依赖真实用户输入数据
C.分析代码的语法和逻辑结构
D.仅适用于动态语言(如Python)
答案:C
解析:SAST是“白盒测试”,通过扫描源代码或字节码,分析语法、控制流和数据流,识别潜在漏洞(如未验证的输入)。运行时检测是DAST(动态分析)的特点,SAST支持多种语言。
SDL的核心目标是?
A.确保软件功能完全符合用户需求
B.在软件发布前消除所有安全漏洞
C.通过流程化方法降低安全风险
D.替代传统软件测试流程
答案:C
解析:SDL强调“过程安全”,通过在每个开发阶段嵌入安全活动(如需求分析、设计评审),系统性降低漏洞引入概率,而非消除所有漏洞(绝对消除不现实)或替代测试。
以下哪项属于动态安全测试(DAST)工具?
A.SonarQube
B.OWASPZAP
C.Dependency-Check
D.FindBugs
答案:B
解析:OWASPZAP(ZedAttackProxy)是典型的DAST工具,通过模拟攻击(如发送恶意请求)检测运行时漏洞(如XSS、SQL注入)。SonarQube和FindBugs是SAST工具,Dependency-Check是SCA(依赖扫描)工具。
安全设计评审应在SDL的哪个阶段进行?
A.需求分析阶段
B.设计阶段
C.开发阶段
D.发布阶段
答案:B
解析:安全设计评审(如架构设计、威胁模型验证)应在设计阶段完成,确保设计方案满足安全需求,避免后期修改成本过高。需求阶段关注需求定义,开发阶段关注实现。
DevSecOps与传统SDL的最主要区别是?
A.更强调安全团队独立负责
B.通过自动化工具实现安全左移
C.仅适用于敏捷开发模式
D.不涉及安全测试环节
答案:B
解析:DevSecOps是SDL在DevOps中的延伸,核心是通过自动化工具(如CI/CD集成SAST/DAST)将安全活动“左移”(提前到开发早期),实现安全与开发运维的持续集成。传统SDL更依赖阶段化人工流程。
以下哪项是SDL中隐私保护的关键法律依据?
A.ISO27001
B.GDPR
C.PCIDSS
D.NISTSP800-53
答案:B
解析:GDPR(欧盟通用数据保护条例)是隐私保护的核心法律,要求在SDL中落实数据最小化、加密、用户权限管理等措施。ISO27001是信息安全管理体系,PCIDSS是支付安全标准,NISTSP800-53是联邦信息系统安全控制。
二、多项选择题(共10题,每题2分,共20分)
安全开
您可能关注的文档
- 先秦的历史记载与史学方法.docx
- 校园系统建设协议.docx
- 银行表内外风险的结构性演化.docx
- 政治思想教育题库及答案.doc
- 智慧课堂合作合同.docx
- 智能仓储设备维护.docx
- 中世纪教士制度的社会作用.docx
- 中世纪行会的经济垄断与社会影响.docx
- 周代王权与宗族秩序关系.docx
- 资本市场中的期权定价模型.docx
- 2025年城市更新咨询师考试题库(附答案和详细解析)(1103).docx
- 2025年谷歌云认证考试题库(附答案和详细解析)(1103).docx
- 2025年国际财资管理师(CTP)考试题库(附答案和详细解析)(1105).docx
- 2025年红帽认证工程师(RHCE)考试题库(附答案和详细解析)(1102).docx
- 2025年临床医学检验技术资格考试题库(附答案和详细解析)(1102).docx
- 2025年欧盟翻译认证(EUTranslator)考试题库(附答案和详细解析)(1102).docx
- 2025年渗透测试工程师考试题库(附答案和详细解析)(1104).docx
- 2025年数据科学专业认证(CDSP)考试题库(附答案和详细解析)(1103).docx
- 2025年土地估价师考试题库(附答案和详细解析)(1104).docx
- 2025年演出经纪人资格证考试题库(附答案和详细解析)(1028).docx
文档评论(0)