原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
2025年信息系统安全专家威胁建模在DevSecOps中的实践专题试卷及解析
2025年信息系统安全专家威胁建模在DevSecOps中的实践专题试卷及解析
第一部分:单项选择题(共10题,每题2分)
1、在DevSecOps流程中,威胁建模最适宜在哪个阶段引入?
A、部署阶段
B、编码阶段
C、设计阶段
D、测试阶段
【答案】C
【解析】正确答案是C。威胁建模应在设计阶段引入,因为此时系统架构尚未固化,修改成本最低。A选项部署阶段过晚,B选项编码阶段部分设计已确定,D选项测试阶段只能发现问题而难以预防。知识点:威胁建模生命周期。易错点:容易误选编码阶段,认为与开发结合更紧密。
2、STRIDE威胁建模方法中,T代表哪种威胁类型?
A、欺骗
B、篡改
C、否认
D、信息泄露
【答案】B
【解析】正确答案是B。STRIDE中T代表Tampering(篡改)。A是Spoofing,C是Repudiation,D是InformationDisclosure。知识点:STRIDE威胁分类法。易错点:容易混淆Denial和Repudiation的缩写。
3、在DevSecOps中,威胁建模的主要输出物通常不包括?
A、威胁树
B、安全需求
C、代码覆盖率报告
D、缓解措施清单
【答案】C
【解析】正确答案是C。代码覆盖率报告是测试阶段的输出物,与威胁建模无关。A、B、D都是威胁建模的标准输出。知识点:威胁建模交付物。易错点:可能误认为所有安全相关文档都是威胁建模输出。
4、PASTA威胁建模方法论主要关注?
A、技术实现细节
B、业务风险驱动
C、合规性检查
D、性能优化
【答案】B
【解析】正确答案是B。PASTA是业务风险驱动的威胁建模方法。A是技术导向,C是合规导向,D与安全无关。知识点:威胁建模方法论对比。易错点:容易混淆PASTA和DREAD的技术侧重点。
5、在DevSecOps管道中,威胁建模的自动化工具通常集成在?
A、CI/CD流水线
B、监控系统
C、日志分析平台
D、容器编排系统
【答案】A
【解析】正确答案是A。威胁建模自动化工具应集成在CI/CD流水线中实现持续安全。B、C、D属于运维阶段工具。知识点:DevSecOps工具链集成。易错点:可能误选容器编排系统,因为与DevOps相关。
6、威胁建模中攻击面分析主要关注?
A、系统漏洞数量
B、潜在入侵点
C、安全配置检查
D、加密算法强度
【答案】B
【解析】正确答案是B。攻击面分析关注系统暴露的潜在入侵点。A是漏洞管理,C是配置管理,D是密码学范畴。知识点:攻击面分析概念。易错点:容易混淆攻击面和漏洞的概念。
7、在敏捷开发中,威胁建模的最佳实践是?
A、每个冲刺都进行
B、仅项目开始时做一次
C、项目结束时补做
D、按需进行
【答案】A
【解析】正确答案是A。敏捷开发中威胁建模应每个冲刺迭代进行。B、C不符合敏捷原则,D过于被动。知识点:敏捷威胁建模实践。易错点:可能误选按需进行,认为更灵活。
8、威胁建模中数据流图(DFD)的主要作用是?
A、展示代码结构
B、描述系统交互
C、分析数据流向
D、记录测试用例
【答案】C
【解析】正确答案是C。DFD用于分析数据流向和交互点。A是架构图作用,B是序列图作用,D是测试文档作用。知识点:威胁建模图示化方法。易错点:容易混淆DFD和架构图的功能。
9、在DevSecOps中,威胁建模与安全测试的关系是?
A、替代关系
B、互补关系
C、竞争关系
D、独立关系
【答案】B
【解析】正确答案是B。威胁建模和安全测试是互补的,前者预防,后者验证。A、C、D都不符合实际。知识点:安全活动协同关系。易错点:可能误认为威胁建模可以替代安全测试。
10、威胁建模中信任边界通常指?
A、网络防火墙位置
B、不同安全域的交界
C、用户权限级别
D、加密通信通道
【答案】B
【解析】正确答案是B。信任边界是不同安全域的交界处。A是具体设备,C是权限概念,D是通信机制。知识点:信任边界概念。易错点:容易混淆信任边界和物理边界的概念。
第二部分:多项选择题(共10题,每题2分)
1、威胁建模在DevSecOps中的主要价值包括?
A、早期发现设计缺陷
B、降低修复成本
C、提高团队安全意识
D、替代所有安全测试
E、加快开发速度
【答案】A、B、C
【解析】A、B、C都是威胁建模的核心价值。D错误,威胁建模不能替代安全测试;E错误,初期可能略微影响速度但长期有益。知识点:威胁建模价值评估。易错点:可能误选E,认为安全活动都会拖慢开发。
2、常见的威胁建模方法论包括?
A、STRIDE
B、PASTA
C、OWASPASVS
D、LINDDUN
E、DREAD
【答案】A、B、D、E
【解析】A、B、D、E都是标准威胁建模方法论。C是
您可能关注的文档
- 2025年信息系统安全专家网络安全架构与防火墙技术专题试卷及解析.docx
- 2025年信息系统安全专家网络安全监测预警机制专题试卷及解析.docx
- 2025年信息系统安全专家网络安全漏洞信息披露管理专题试卷及解析.docx
- 2025年信息系统安全专家网络安全人员安全意识与合规培训专题试卷及解析.docx
- 2025年信息系统安全专家网络安全事件报告与处置合规专题试卷及解析.docx
- 2025年信息系统安全专家网络分段风险评估专题试卷及解析.docx
- 2025年信息系统安全专家网络分段合规性要求专题试卷及解析.docx
- 2025年信息系统安全专家网络分段可视化技术专题试卷及解析.docx
- 2025年信息系统安全专家网络分段入侵检测部署专题试卷及解析.docx
- 2025年信息系统安全专家网络分段与AI安全防护专题试卷及解析.docx
- 2025年信息系统安全专家威胁建模在安全测试用例设计中的应用专题试卷及解析.docx
- 2025年信息系统安全专家威胁建模在安全态势感知中的应用专题试卷及解析.docx
- 2025年信息系统安全专家威胁建模在重大安全事件中的应用专题试卷及解析.docx
- 2025年信息系统安全专家威胁建模中的单点登录安全专题试卷及解析.docx
- 2025年信息系统安全专家威胁建模中的攻击路径识别专题试卷及解析.docx
- 2025年信息系统安全专家威胁建模中的攻击模式分析专题试卷及解析.docx
- 2025年信息系统安全专家威胁建模中的会话管理安全专题试卷及解析.docx
- 2025年信息系统安全专家威胁建模中的数据分类与保护专题试卷及解析.docx
- 2025年信息系统安全专家威胁建模中的文档管理专题试卷及解析.docx
- 2025年信息系统安全专家威胁建模中的隐私保护法规专题试卷及解析.docx
文档评论(0)