1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2025年安全开发生命周期专家考试题库(附答案和详细解析)(1118).docxVIP

2025年安全开发生命周期专家考试题库(附答案和详细解析)(1118).docx

此“教育”领域文档为创作者个人分享资料,不作为权威性指导和指引,仅供参考
    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    安全开发生命周期(SDL)专家考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    安全开发生命周期(SDL)的核心思想是?

    A.开发完成后集中进行安全测试

    B.将安全融入软件开发的每个阶段

    C.仅关注生产环境的安全防护

    D.依赖第三方工具实现安全

    答案:B

    解析:SDL的核心是“安全左移”(ShiftLeft),强调在需求、设计、开发、测试等全生命周期中嵌入安全措施,而非事后补救。A错误,因SDL反对“集中测试”;C错误,SDL覆盖全阶段而非仅生产环境;D错误,工具是辅助手段,核心是流程。

    以下哪项是威胁建模(ThreatModeling)的标准方法?

    A.STRIDE

    B.OWASPZAP

    C.SANSTOP20

    D.ISO27001

    答案:A

    解析:STRIDE(欺骗、篡改、否认、信息泄露、拒绝服务、权限提升)是微软提出的威胁分类框架,是威胁建模的经典方法。B是漏洞扫描工具;C是风险优先级列表;D是信息安全管理体系标准,均非威胁建模方法。

    在SDL的需求阶段,最关键的安全活动是?

    A.编写安全编码规范

    B.进行渗透测试

    C.定义安全需求和合规要求

    D.部署Web应用防火墙(WAF)

    答案:C

    解析:需求阶段需明确系统应满足的安全目标(如数据加密等级、身份认证强度)及合规要求(如GDPR、等保2.0)。A属于开发阶段;B属于测试阶段;D属于运维阶段。

    静态应用安全测试(SAST)主要针对?

    A.运行中的应用程序

    B.源代码或二进制文件

    C.用户输入的数据流

    D.网络传输的数据包

    答案:B

    解析:SAST通过分析源代码、字节码或二进制文件检测潜在漏洞(如缓冲区溢出),无需运行程序。A是动态测试(DAST)的对象;C是交互式测试(IAST)的关注重点;D是网络扫描的对象。

    以下哪项不属于SDL中的“安全设计”活动?

    A.绘制数据流图(DFD)

    B.定义最小权限原则

    C.编写单元测试用例

    D.选择加密算法

    答案:C

    解析:安全设计阶段需通过DFD识别资产流、定义权限模型、选择安全技术(如加密算法)。C是开发阶段的编码活动,属于实现环节。

    微软SDL框架中“安全文档”的核心目的是?

    A.记录漏洞修复过程

    B.为用户提供操作手册

    C.向管理层汇报安全投入

    D.确保所有利益相关方理解安全要求

    答案:D

    解析:安全文档(如安全需求规格说明书、威胁模型文档)用于明确开发、测试、运维等团队的安全职责和目标,避免信息断层。A是漏洞管理的内容;B是用户文档;C是汇报材料。

    以下哪项属于“运行时防护”技术?

    A.依赖项漏洞扫描(SCA)

    B.Web应用防火墙(WAF)

    C.代码审查

    D.威胁建模

    答案:B

    解析:运行时防护通过实时监控和阻断攻击(如WAF拦截SQL注入)保护应用。A属于开发阶段的依赖管理;C属于测试阶段;D属于设计阶段。

    OWASPSAMM(软件安全成熟度模型)的主要作用是?

    A.评估SDL流程的成熟度

    B.提供漏洞利用代码

    C.指导渗透测试步骤

    D.定义安全编码规范

    答案:A

    解析:SAMM通过16个安全实践域(如治理、构建、验证)帮助组织评估和提升SDL能力成熟度。B是漏洞库(如ExploitDatabase)的功能;C是测试指南(如OWASP测试指南)的内容;D是编码规范(如CERTCSecureCodingStandard)的作用。

    在SDL的发布阶段,关键活动是?

    A.修复测试阶段发现的漏洞

    B.部署监控和日志系统

    C.进行最终的安全合规检查

    D.编写用户隐私政策

    答案:C

    解析:发布前需确认所有安全需求已满足(如漏洞修复率达标、合规审计通过),避免带风险上线。A是测试阶段的后续;B是运维阶段;D是需求阶段的文档工作。

    以下哪项是“安全左移”的典型实践?

    A.在生产环境部署入侵检测系统(IDS)

    B.在开发早期进行威胁建模

    C.上线后进行渗透测试

    D.定期更新服务器操作系统补丁

    答案:B

    解析:安全左移强调在开发早期(需求、设计阶段)介入安全措施(如威胁建模),而非后期补救。A、C、D均属于后期或运行时措施。

    二、多项选择题(共10题,每题2分,共20分)

    以下属于SDL关键原则的有?

    A.安全责任仅由安全团队承担

    B.持续安全验证(如自动化测试)

    C.最小化攻击面

    D.事后集中修复漏洞

    答案:BC

    解析:SDL原则包括“安全左移”“持续验证”“最小化攻击面”“责任共担”。A错误,安全需开发、测试、运维等多团队协作;D错误,SDL反对“事后集中修复”。

    威胁建模的主要步骤包括?

    A.识别资产和数据流

    B.分配威胁等级(高/中/低)

    C.设计缓解措施

    D.编写用户故事

    答案:ABC

    解析:威胁建模流程

    您可能关注的文档

    最近下载

    文档评论(0)

    甜甜微笑 + 关注
    实名认证
    文档贡献者

    计算机二级持证人

    好好学习

    咨询Ta 进入空间
    领域认证该用户于2025年09月06日上传了计算机二级

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >