2025年信息系统安全专家软件物料清单安全审计专题试卷及解析.pdf

2025年信息系统安全专家软件物料清单安全审计专题试卷及解析1

2025年信息系统安全专家软件物料清单安全审计专题试卷

及解析

2025年信息系统安全专家软件物料清单安全审计专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在软件物料清单（SBOM）安全审计中，以下哪项是SBOM最核心的作用？

A、提升软件编译速度

B、提供软件组件的透明度

C、优化软件用户界面

D、减少软件存储空间

【答案】B

【解析】正确答案是B。SBOM的核心价值在于提供软件组件的透明度，帮助组织

了解其软件中包含的所有第三方和开源组件，从而进行安全风险评估。A、C、D选项

与SBOM的核心功能无关，属于软件工程的其他领域。知识点：SBOM基础概念。易

错点：容易将SBOM的功能与软件性能优化混淆。

2、根据NISTSP800161标准，以下哪项不属于SBOM应包含的必要元素？

A、组件名称

B、供应商信息

C、许可证类型

D、源代码行数

【答案】D

【解析】正确答案是D。NISTSP800161规定的SBOM必要元素包括组件名称、版

本、供应商、许可证等，但源代码行数不属于必要信息。A、B、C都是标准要求的元

素。知识点：SBOM标准规范。易错点：容易将技术细节（如代码行数）误认为是必要

元素。

3、在SBOM安全审计中，以下哪种工具最适合用于自动化漏洞扫描？

A、文本编辑器

B、版本控制系统

C、SCA（软件成分分析）工具

D、项目管理软件

【答案】C

【解析】正确答案是C。SCA工具专门用于分析软件组件并识别已知漏洞，是SBOM

审计的核心工具。A、B、D虽然与软件开发相关，但不具备漏洞扫描功能。知识点：SBOM

审计工具。易错点：容易混淆开发工具与安全审计工具的功能。

4、以下哪项是SBOM中最常见的许可证类型？

2025年信息系统安全专家软件物料清单安全审计专题试卷及解析2

A、GPL

B、MIT

C、Apache

D、BSD

【答案】B

【解析】正确答案是B。MIT许可证因其宽松性和简洁性，成为开源项目中最常用

的许可证类型。A、C、D虽然也是常见许可证，但使用频率低于MIT。知识点：开源

许可证。易错点：容易将许可证的知名度与使用频率混淆。

5、在SBOM审计中，以下哪种情况属于高风险漏洞？

A、组件版本过旧但无已知漏洞

B、存在CVSS评分9.0的远程代码执行漏洞

C、许可证类型不兼容

D、组件文档不完整

【答案】B

【解析】正确答案是B。CVSS评分9.0的远程代码执行漏洞属于严重安全风险，需

立即处理。A、C、D虽然也是问题，但风险等级低于B。知识点：漏洞风险评估。易

错点：容易将所有问题等同看待，忽视风险等级差异。

6、以下哪项是SBOM格式中目前最广泛支持的标准？

A、JSON

B、XML

C、SPDX

D、CycloneDX

【答案】C

【解析】正确答案是C。SPDX是Linux基金会推出的SBOM标准，目前获得最广

泛的支持。D也是重要标准，但普及度稍低。A、B是通用数据格式，不是SBOM专用

标准。知识点：SBOM标准格式。易错点：容易将通用数据格式与专用标准混淆。

7、在SBOM审计中，以下哪种行为可能导致供应链攻击？

A、使用官方仓库的组件

B、定期更新组件版本

C、使用未经验证的第三方组件

D、记录组件来源信息

【答案】C

【解析】正确答案是C。未经验证的第三方组件可能包含恶意代码，是供应链攻击

的主要途径。A、B、D都是安全实践。知识点：供应链安全。易错点：容易忽视第三

方组件的验证重要性。

2025年信息系统安全专家软件物料清单安全审计专题试卷及解析