2025年信息系统安全专家第三方组件与供应链漏洞修复专题试卷及解析.pdfVIP

2025年信息系统安全专家第三方组件与供应链漏洞修复专题试卷及解析1

2025年信息系统安全专家第三方组件与供应链漏洞修复专

题试卷及解析

2025年信息系统安全专家第三方组件与供应链漏洞修复专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在供应链安全中，以下哪项是“零信任”架构的核心原则？

A、默认信任内部网络

B、持续验证和最小权限

C、依赖边界防火墙

D、一次性授权访问

【答案】B

【解析】正确答案是B。零信任架构的核心原则是“从不信任，始终验证”，即持续验

证用户身份和设备状态，并授予最小必要权限。A选项与零信任理念相反；C选项是传

统边界安全模型；D选项不符合持续验证要求。知识点：零信任架构原理。易错点：混

淆零信任与传统边界安全模型。

2、Log4Shell漏洞（CVE202144228）属于哪种类型的漏洞？

A、SQL注入

B、远程代码执行

C、跨站脚本

D、权限绕过

【答案】B

【解析】正确答案是B。Log4Shell是ApacheLog4j中的JNDI注入漏洞，允许攻

击者远程执行恶意代码。A、C、D选项均为其他类型漏洞。知识点：高危漏洞分类。易

错点：将JNDI注入误认为其他常见漏洞类型。

3、以下哪项是软件物料清单（SBOM）的主要作用？

A、加密传输数据

B、记录组件依赖关系

C、过滤网络流量

D、生成用户密码

【答案】B

【解析】正确答案是B。SBOM用于详细记录软件中包含的第三方组件及其版本、

依赖关系，帮助识别供应链风险。A、C、D选项与SBOM功能无关。知识点：SBOM

功能与标准。易错点：混淆SBOM与其他安全工具。

4、在修复第三方组件漏洞时，以下哪种方法最优先？

A、禁用受影响组件

2025年信息系统安全专家第三方组件与供应链漏洞修复专题试卷及解析2

B、应用官方补丁

C、替换为开源组件

D、增加网络隔离

【答案】B

【解析】正确答案是B。官方补丁通常是最安全、最彻底的修复方式。A选项可能

导致功能中断；C选项可能引入新风险；D选项仅为临时缓解措施。知识点：漏洞修复

优先级。易错点：忽视官方补丁的重要性。

5、供应链攻击中，“投毒攻击”通常指什么？

A、物理破坏设备

B、篡改软件源代码

C、发送钓鱼邮件

D、DDoS攻击

【答案】B

【解析】正确答案是B。投毒攻击指攻击者向开源仓库或软件供应链中注入恶意代

码。A、C、D选项为其他攻击类型。知识点：供应链攻击手段。易错点：混淆投毒攻

击与传统网络攻击。

6、NVD（国家漏洞数据库）的主要用途是什么？

A、提供漏洞评分标准

B、存储漏洞详细信息

C、生成安全报告

D、管理用户权限

【答案】B

【解析】正确答案是B。NVD是权威的漏洞信息数据库，提供漏洞详情、CVSS评

分等。A选项由FIRST组织负责；C、D选项超出NVD范围。知识点：漏洞数据库功

能。易错点：混淆NVD与CVSS的关系。

7、以下哪项是“依赖混淆”攻击的关键步骤？

A、篡改DNS记录

B、发布同名恶意包

C、拦截网络请求

D、伪造SSL证书

【答案】B

【解析】正确答案是B。依赖混淆攻击通过发布与内部依赖同名的恶意包，诱骗系

统下载。A、C、D选项为其他攻击手段。知识点：依赖混淆攻击原理。易错点：忽视

包名冲突的核心机制。

8、在SCA（软件成分分析）工具中，以下哪项功能最关键？

2025年信息系统安全专家第三方组件与供应链漏洞修复专题试卷及解析3

A、代码覆盖率分析

B、识别第三方组件

C、性能测试

D、日志审计

【答案】B

【解析