原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
安全开发生命周期(SDL)专家考试试卷
一、单项选择题(共10题,每题1分,共10分)
安全开发生命周期(SDL)的核心思想是:
A.在开发后期集中进行安全测试
B.将安全活动融入软件开发全周期
C.仅由安全团队负责软件安全
D.通过漏洞修复替代预防措施
答案:B
解析:SDL的核心是“安全左移”(ShiftLeft),强调将安全需求分析、威胁建模、安全编码等活动嵌入需求、设计、开发等早期阶段,而非后期集中处理(排除A)。安全需全员参与(排除C),预防优先于修复(排除D)。
以下哪项是SDL中“威胁建模”的标准方法?
A.STRIDE(欺骗、篡改、否认、信息泄露、拒绝服务、权限提升)
B.SWOT(优势、劣势、机会、威胁)
C.PDCA(计划、执行、检查、处理)
D.RACI(责任分配矩阵)
答案:A
解析:STRIDE是微软提出的威胁分类模型,用于系统化识别威胁(正确)。SWOT用于战略分析(排除B),PDCA是质量管理循环(排除C),RACI用于职责划分(排除D)。
安全编码规范的主要目的是:
A.提高代码运行效率
B.减少常见编程漏洞(如SQL注入、XSS)
C.简化代码版本管理
D.提升用户界面交互体验
答案:B
解析:安全编码规范通过定义安全的编程实践(如输入验证、输出编码),直接降低OWASPTop10等常见漏洞风险(正确)。效率、版本管理、用户体验均非核心目标(排除A/C/D)。
以下哪项属于SDL“发布阶段”的关键活动?
A.编写安全需求文档
B.执行渗透测试
C.生成软件安全公告(SSA)
D.进行代码审查
答案:C
解析:发布阶段需向用户告知已知漏洞及修复方案(生成SSA)(正确)。需求文档在需求阶段(排除A),渗透测试在测试阶段(排除B),代码审查在开发阶段(排除D)。
SDL中“软件成分分析(SCA)”主要用于:
A.检测第三方依赖中的已知漏洞
B.评估代码行数与复杂度
C.验证用户权限管理逻辑
D.优化数据库查询性能
答案:A
解析:SCA通过扫描开源/闭源依赖库,识别其中的CVE漏洞(如Log4j2漏洞)(正确)。代码复杂度由静态分析工具评估(排除B),权限管理验证属动态测试(排除C),数据库优化属性能范畴(排除D)。
微软SDL的起源可追溯至:
A.2002年“可信计算”战略
B.2010年OWASPSAMM发布
C.2015年NISTSP800-64
D.2020年ISO27034标准
答案:A
解析:微软于2002年推出SDL,作为“可信计算”战略的一部分(正确)。OWASPSAMM发布于2009年(排除B),NISTSP800-64是系统开发生命周期安全指南(排除C),ISO27034是应用安全标准(排除D)。
以下哪项不属于SDL“维护阶段”的活动?
A.监控生产环境漏洞
B.发布安全补丁
C.开展用户安全培训
D.更新威胁模型
答案:C
解析:维护阶段重点是持续监控、补丁管理和威胁模型更新(排除A/B/D)。用户培训通常在需求或发布阶段完成(正确)。
SDL中“安全测试”的优先级顺序通常为:
A.单元测试→集成测试→系统测试→验收测试
B.验收测试→系统测试→集成测试→单元测试
C.模糊测试→渗透测试→代码审查→静态分析
D.静态分析→动态分析→交互式分析→渗透测试
答案:D
解析:SDL推荐“左移”测试,优先静态分析(开发早期)→动态分析(测试环境)→交互式分析(集成环境)→渗透测试(接近生产环境)(正确)。A是常规测试顺序,未体现安全特性(排除)。
以下哪项是SDL“需求阶段”的输出物?
A.威胁模型文档
B.安全需求规格说明书(SRS)
C.漏洞修复报告
D.渗透测试报告
答案:B
解析:需求阶段需明确安全功能、合规要求等,输出SRS(正确)。威胁模型在设计阶段(排除A),漏洞修复和渗透测试报告在测试阶段(排除C/D)。
SDL与传统SDLC的最大区别是:
A.增加了安全团队角色
B.强制要求使用特定开发工具
C.将安全作为核心需求而非附加功能
D.缩短了开发周期
答案:C
解析:SDL将安全嵌入每个阶段(如安全需求、安全设计),而非后期修补(正确)。安全团队角色可能重叠(排除A),工具非强制(排除B),周期可能延长(排除D)。
二、多项选择题(共10题,每题2分,共20分)
以下属于SDL核心实践的有:
A.安全需求分析
B.威胁建模
C.代码行数统计
D.安全培训
答案:ABD
解析:SDL核心实践包括安全需求、威胁建模、安全编码、安全测试、安全培训等(ABD正确)。代码行数统计属常规开发指标(排除C)。
OWASP提供的SDL相关工具或标准包括:
A.ASVS(应用
您可能关注的文档
最近下载
- (12国商国际商务综合实训指导书.doc VIP
- 精神科工作制度汇编.docx VIP
- 《基于患者来源肿瘤类器官的药物敏感性检测技术规范》.pdf VIP
- 期末测试卷02【好题汇编】备战九年级语文上册期末真题分类汇编(全国版)(解析版).pdf VIP
- 中文版 IPC 7530A-2017 群焊工艺温度曲线指南(再流焊和波峰焊).docx VIP
- (高清版)DB11∕T 2279-2024社会单位消防安全评估规范.pdf VIP
- 先进制造技术第三版王隆太课后习题答案.pdf VIP
- 副食品配送服务投标方案.doc VIP
- 基于智能算法的拱架式贴片机贴装优化研究.pdf VIP
- 电机更换工程施工方案(3篇).docx
文档评论(0)