2025年信息系统安全专家CI_CD安全工具链集成专题试卷及解析.pdf

2025年信息系统安全专家CI_CD安全工具链集成专题试卷及解析1

2025年信息系统安全专家CI_CD安全工具链集成专题试

卷及解析

2025年信息系统安全专家CI_CD安全工具链集成专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在CI/CD流水线中，以下哪个阶段最适合集成静态应用安全测试（SAST）工

具？

A、部署阶段

B、构建阶段

C、运行阶段

D、监控阶段

【答案】B

【解析】正确答案是B。SAST工具需要在代码编译后、构建阶段运行，以便在不执

行代码的情况下分析源代码中的安全漏洞。A选项部署阶段更适合动态应用安全测试

（DAST）；C选项运行阶段适合运行时安全监控；D选项监控阶段侧重于系统性能和异

常行为检测。知识点：SAST工具的集成时机。易错点：容易混淆SAST和DAST的

适用阶段。

2、以下哪种工具主要用于CI/CD流水线中的容器镜像安全扫描？

A、SonarQube

B、OWASPZAP

C、Trivy

D、Jenkins

【答案】C

【解析】正确答案是C。Trivy是一款开源的容器镜像漏洞扫描工具，专门用于检测

镜像中的已知漏洞。A选项SonarQube是SAST工具；B选项OWASPZAP是DAST

工具；D选项Jenkins是CI/CD工具本身，不直接用于安全扫描。知识点：容器安全

工具分类。易错点：容易将不同类型的安全工具功能混淆。

3、在CI/CD流水线中，以下哪种措施最能有效防止供应链攻击？

A、代码签名验证

B、单元测试覆盖率检查

C、日志聚合分析

D、性能基准测试

【答案】A

【解析】正确答案是A。代码签名验证可以确保依赖库和构建产物的完整性和来源

可信，是防止供应链攻击的关键措施。B选项单元测试关注功能正确性；C选项日志分

2025年信息系统安全专家CI_CD安全工具链集成专题试卷及解析2

析用于事后审计；D选项性能测试与安全无关。知识点：供应链安全防护。易错点：容

易忽视签名验证的重要性。

4、以下哪种CI/CD安全实践属于”左移”安全理念？

A、生产环境渗透测试

B、开发人员安全培训

C、运行时入侵检测

D、应急响应演练

【答案】B

【解析】正确答案是B。“左移”安全强调在开发早期阶段融入安全措施，开发人员

培训属于前置性安全能力建设。A、C、D选项都是后期或运行时的安全活动。知识点：

DevSecOps核心理念。易错点：容易将所有安全活动都归类为”左移”。

5、在GitLabCI/CD中，以下哪种配置最适合实现秘密信息的安全管理？

A、硬编码在.gitlabci.yml中

B、存储在项目环境变量中

C、提交到代码仓库

D、通过API动态获取

【答案】B

【解析】正确答案是B。GitLab的环境变量功能可以安全地存储秘密信息，并在流

水线运行时注入。A和C选项会暴露秘密；D选项可能增加复杂性和风险。知识点：

CI/CD秘密管理最佳实践。易错点：容易忽视环境变量的安全隔离特性。

6、以下哪种工具最适合用于CI/CD流水线中的基础设施即代码（IaC）安全扫描？

A、Checkmarx

B、Terraform

C、tfsec

D、Docker

【答案】C

【解析】正确答案是C。tfsec是专门用于扫描Terraform配置安全问题的静态分析

工具。A选项Checkmarx是通用SAST工具；B选项Terraform是IaC工具本身；D

选项Docker是容器化工具。知识点：IaC安全工具选择。易错点：容易混淆IaC工具

和IaC安全扫描工具。

7、在CI/CD流水线中，以下哪种指标最能反映安全测试的效率？

A、漏洞修复时间

B、安全测试执行频率

C、代码提交次数