2025年信息系统安全专家威胁建模与持续集成_持续交付专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁建模与持续集成_持续交付专题试卷及解析1

2025年信息系统安全专家威胁建模与持续集成_持续交付

专题试卷及解析

2025年信息系统安全专家威胁建模与持续集成_持续交付专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁建模过程中，以下哪种方法最适合用于识别系统边界和信任区域？

A、STRIDE模型

B、PASTA框架

C、数据流图（DFD）

D、攻击树分析

【答案】C

【解析】正确答案是C。数据流图（DFD）通过可视化数据流和处理过程，能清晰

展示系统边界和信任区域划分。STRIDE（A）是威胁分类方法，PASTA（B）是完整威

胁建模流程，攻击树（D）用于分析具体攻击路径。知识点：系统边界识别是威胁建模

基础步骤。易错点：容易混淆威胁分类工具与边界识别工具。

2、在CI/CD流水线中，静态应用安全测试（SAST）最适合在哪个阶段执行？

A、生产部署阶段

B、代码提交阶段

C、集成测试阶段

D、用户验收阶段

【答案】B

【答案】正确答案是B。SAST应在代码提交后立即执行，能最早发现源代码漏洞。

生产部署（A）太晚，集成测试（C）更适合DAST，用户验收（D）不涉及代码分析。

知识点：安全测试左移原则。易错点：容易混淆SAST与DAST的执行时机。

3、以下哪项不属于持续交付（CD）的核心特征？

A、自动化测试覆盖

B、手动生产部署审批

C、频繁小批量发布

D、基础设施即代码

【答案】B

【解析】正确答案是B。持续交付要求部署到生产环境前的所有环节自动化，但最

终部署可能需要手动审批。A、C、D都是CD核心特征。知识点：持续交付与持续部

署的区别。易错点：容易将CD误解为完全自动化部署。

4、在威胁建模中，“欺骗攻击”属于STRIDE模型中的哪个威胁类别？

A、Spoofing

2025年信息系统安全专家威胁建模与持续集成_持续交付专题试卷及解析2

B、Tampering

C、Repudiation

D、Informationdisclosure

【答案】A

【解析】正确答案是A。Spoofing（欺骗）指伪装身份进行攻击，符合题意。Tampering

（B）是篡改，Repudiation（C）是抵赖，Informationdisclosure（D）是信息泄露。知识

点：STRIDE六类威胁定义。易错点：容易混淆Spoofing与Tampering的表现形式。

5、在DevSecOps实践中，“安全门禁”通常指什么？

A、物理安全设备

B、代码质量检查点

C、网络防火墙

D、用户认证系统

【答案】B

【解析】正确答案是B。安全门禁是CI/CD流水线中的自动化安全检查点，不符合

安全标准则阻断流程。A、C、D都是传统安全措施。知识点：DevSecOps流水线安全

控制机制。易错点：容易将软件层面的安全门禁与物理安全设备混淆。

6、以下哪种威胁建模方法最适用于物联网（IoT）系统？

A、LINDDUN

B、OCTAVE

C、PASTA

D、VAST

【答案】D

【解析】正确答案是D。VAST（可视化、可扩展威胁建模）专为复杂IoT系统设

计。LINDDUN（A）关注隐私，OCTAVE（B）侧重组织风险，PASTA（C）流程较重。

知识点：不同威胁建模方法的适用场景。易错点：容易忽视IoT系统的特殊安全需求。

7、在持续集成中，“构建失败”最常见的直接原因是？

A、代码合并冲突

B、单元测试未通过

C、依赖库版本不兼容

D、以上都是

【答案】D

【解析】正确答案是D。A、B、C都是构建失败的常见直接原因。知识点：CI流水

线常见故障点。易错点：容易只关注单一原因而忽视复合因素。

8、威胁