2025年信息系统安全专家应用安全开发生命周期全流程实战专题试卷及解析.pdfVIP

2025年信息系统安全专家应用安全开发生命周期全流程实战专题试卷及解析1

2025年信息系统安全专家应用安全开发生命周期全流程实

战专题试卷及解析

2025年信息系统安全专家应用安全开发生命周期全流程实战专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在软件开发生命周期（SDLC）的需求分析阶段，安全专家最应该关注的活动是

什么？

A、编写具体的代码实现

B、进行渗透测试

C、识别和分类安全需求

D、部署防火墙规则

【答案】C

【解析】正确答案是C。需求分析阶段的核心是明确系统“做什么”，其中就包括功能

性需求和非功能性需求，安全需求是至关重要的非功能性需求。在此阶段识别安全需求

（如身份认证、数据加密、访问控制等）是成本最低、效果最好的安全介入点。A选项

（编写代码）属于开发/实现阶段；B选项（渗透测试）通常在测试阶段或上线后进行；D

选项（部署防火墙）属于部署/运维阶段的活动。知识点：安全左移、SDLC各阶段安全

活动。易错点：容易将安全活动与测试阶段的活动混淆，认为安全就是测试，而忽略了

早期介入的重要性。

2、威胁建模在应用安全开发生命周期中通常在哪个阶段进行最为有效？

A、部署阶段

B、设计阶段

C、维护阶段

D、编码阶段

【答案】B

【解析】正确答案是B。威胁建模是在系统设计阶段分析潜在威胁、识别漏洞并制

定应对策略的过程。在设计阶段进行，可以在架构层面发现并修复设计缺陷，避免在编

码完成后才发现问题，导致高昂的修复成本。A和C阶段为时已晚，D阶段虽然可以

发现部分问题，但很多架构级的威胁已经固化。知识点：威胁建模、STRIDE模型、安

全设计。易错点：认为威胁建模可以在任何阶段进行，而忽略了其在设计阶段“防患于

未然”的核心价值。

3、以下哪项技术属于动态应用安全测试（DAST）的典型特征？

A、在编译时扫描源代码

B、需要访问应用程序的源代码

C、在应用程序运行时模拟攻击

2025年信息系统安全专家应用安全开发生命周期全流程实战专题试卷及解析2

D、检查代码中的编码规范

【答案】C

【解析】正确答案是C。DAST（DynamicApplicationSecurityTesting）是在应用

程序运行状态下，通过模拟黑客攻击的方法来检测安全漏洞，它是一种“黑盒”测试技术，

不需要源代码。A和B是静态应用安全测试（SAST）的特征。D是代码质量审查或静

态分析的一部分，不完全等同于SAST。知识点：DAST、SAST、IAST的区别。易错

点：混淆SAST和DAST的测试对象和时机，SAST看“白盒”（源代码），DAST看“黑

盒”（运行中的应用）。

4、在DevSecOps实践中，将安全扫描工具集成到CI/CD流水线中的主要目的是

什么？

A、完全取代人工安全审计

B、实现安全检查的自动化和持续化

C、确保代码编译速度最快

D、减少开发人员的编码工作量

【答案】B

【解析】正确答案是B。DevSecOps的核心思想是将安全融入DevOps的自动化流

程中。将安全扫描工具（如SAST、DAST、依赖项扫描）集成到CI/CD流水线，可以

在每次代码提交或构建时自动触发安全检查，实现持续的安全反馈和快速修复，即“安

全左移”和“持续安全”。A选项是错误的，自动化工具无法完全取代人的经验和深度分

析。C和D不是集成安全工具的主要目的。知识点：DevSecOps、CI/CD、安全自动化。

易错点：对DevSecOps的理解停留在表面，未能抓住其“自动化”和“持续化”的核心。

5、当开发团队使用第三方开源组件时，面临的最主要的安全风险是什么？

A、组件性能不达标

B、组件文档不完善

C、组件中存在已知漏洞

D、组件的许可证不兼容

【答案】C

【解析】正确答案是C。使用第三方开源组件带来的最大安全风险是这些组件可能

自身就含有已知的安全漏洞（CVE），攻击者可以利用这些漏洞攻击整