原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
安全开发生命周期(SDL)专家考试试卷
一、单项选择题(共10题,每题1分,共10分)
安全开发生命周期(SDL)的核心目标是:
A.在开发后期集中修复安全漏洞
B.通过全流程预防减少安全缺陷
C.仅关注代码层面的安全测试
D.满足合规要求而不考虑实际风险
答案:B
解析:SDL的核心是“预防为主”,通过在需求、设计、开发等早期阶段融入安全活动(如威胁建模、安全需求分析),减少后期修复成本。选项A错误,因SDL强调早期预防而非后期集中修复;C错误,因SDL覆盖全生命周期而非仅代码测试;D错误,合规是手段而非核心目标。
微软SDL框架中,“威胁建模”通常首次应用于哪个阶段?
A.需求分析阶段
B.系统设计阶段
C.代码开发阶段
D.部署维护阶段
答案:B
解析:微软SDL要求在系统设计阶段首次进行威胁建模(STRIDE方法),识别资产、威胁和缓解措施。需求阶段主要是安全需求提取(选项A);开发阶段侧重代码安全(选项C);部署阶段关注配置安全(选项D)。
以下哪项属于动态应用安全测试(DAST)的典型工具?
A.SonarQube
B.BurpSuite
C.FortifySCA
D.FindBugs
答案:B
解析:DAST通过模拟攻击测试运行中的系统,BurpSuite是典型的DAST工具。SonarQube(A)和FortifySCA(C)是静态测试(SAST)工具;FindBugs(D)是针对Java的静态代码分析工具。
SDL中“安全编码规范”的主要作用是:
A.替代代码审查
B.强制开发人员使用特定编程语言
C.减少常见编码漏洞(如SQL注入)
D.仅用于合规审计
答案:C
解析:安全编码规范(如OWASP编码指南)为开发人员提供避免常见漏洞的规则(如输入验证、参数化查询),直接减少漏洞产生。A错误,因规范不能替代审查;B错误,规范与语言无关;D错误,规范是预防手段而非仅审计。
以下哪项不属于SDL“部署阶段”的安全活动?
A.配置安全检查(如最小权限原则)
B.应急响应计划测试
C.依赖库漏洞扫描(如OWASPDependency-Check)
D.最终安全审查(FinalSecurityReview)
答案:C
解析:依赖库扫描通常在开发阶段(集成第三方库时)进行,部署阶段关注配置安全(A)、应急响应(B)和最终审查(D)。
威胁建模的STRIDE模型中,“E”代表的威胁类型是:
A.篡改(Tampering)
B.否认(Repudiation)
C.信息泄露(InformationDisclosure)
D.拒绝服务(DenialofService)
答案:D
解析:STRIDE模型包括:Spoofing(假冒)、Tampering(篡改)、Repudiation(否认)、InformationDisclosure(信息泄露)、DenialofService(拒绝服务)、ElevationofPrivilege(权限提升)。“E”对应ElevationofPrivilege(权限提升),但选项中无此选项,需注意题目可能为简化表述,实际D选项“拒绝服务”对应“D”。
SDL中“安全需求分析”的关键输出是:
A.威胁模型文档
B.安全功能清单(如身份认证、加密要求)
C.渗透测试报告
D.漏洞修复时间表
答案:B
解析:安全需求分析阶段需明确系统必须满足的安全功能(如“用户密码需使用PBKDF2加密”),形成安全功能清单。威胁模型(A)是设计阶段输出;渗透测试(C)是测试阶段输出;修复时间表(D)是漏洞管理输出。
以下哪项是SDL“维护阶段”的核心活动?
A.初始安全培训
B.漏洞生命周期管理(如CVE跟踪)
C.威胁建模首次实施
D.安全编码规范制定
答案:B
解析:维护阶段需持续监控系统运行,跟踪已知漏洞(如CVE)并及时修复,属于漏洞生命周期管理。A是开发前准备;C是设计阶段;D是开发阶段。
OWASPSDL指南中强调的“持续安全”指的是:
A.仅在发布前进行一次安全测试
B.安全活动贯穿开发、测试、部署、维护全流程
C.由专门安全团队负责所有安全工作
D.仅关注新功能的安全,不处理历史漏洞
答案:B
解析:OWASPSDL强调安全不是一次性活动,需在每个阶段持续实施(如持续集成中的SAST/DAST扫描)。A错误,因需持续测试;C错误,需开发团队参与;D错误,需修复历史漏洞。
以下哪项属于SDL“测试阶段”的安全活动?
A.安全需求文档评审
B.渗透测试(PenetrationTesting)
C.架构设计评审
D.第三方库许可证检查
答案:B
解析:测试阶段包括动态测试(DAST)、渗透测
您可能关注的文档
- 临时性劳务的工资支付与社保问题.docx
- 企业员工激励制度优化.docx
- 企业并购中的法律风险与对策.docx
- 企业社会责任与用工管理.docx
- 侵权损害救济方式选择.docx
- 停车场租赁管理合同.docx
- 全球通胀波动对投资组合的影响分析.docx
- 劳动争议裁决执行效果评估.docx
- 劳动争议调解与仲裁的程序.docx
- 劳动仲裁程序透明化改革方向.docx
- 2025年国际会议口译资格认证(CIIC)考试题库(附答案和详细解析)(1105).docx
- 2025年国际金融市场从业资格(ICMA)考试题库(附答案和详细解析)(1105).docx
- 2025年国际注册信托与财富管理师(CTEP)考试题库(附答案和详细解析)(1107).docx
- 2025年跨境电商运营师考试题库(附答案和详细解析)(1013).docx
- 2025年碳资产管理师考试题库(附答案和详细解析)(1105).docx
- 2025年碳资产管理师考试题库(附答案和详细解析)(1109).docx
- 2025年运动康复师考试题库(附答案和详细解析)(1107).docx
- 2025年注册交互设计师考试题库(附答案和详细解析)(1108).docx
- 2025年注册交通工程师考试题库(附答案和详细解析)(1107).docx
- 2025年注册投资项目分析师(CIPA)考试题库(附答案和详细解析)(1109).docx
文档评论(0)