1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2025年安全开发生命周期专家考试题库(附答案和详细解析)(1125).docxVIP

2025年安全开发生命周期专家考试题库(附答案和详细解析)(1125).docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    安全开发生命周期(SDL)专家考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    安全开发生命周期(SDL)的起始阶段通常是以下哪一个?

    A.编码开发

    B.需求分析

    C.测试验证

    D.部署发布

    答案:B

    解析:SDL强调“安全左移”,要求安全活动从需求分析阶段开始介入,早期识别安全需求和潜在风险。其他选项均为后续阶段(编码属于开发阶段,测试和部署为后期阶段)。

    以下哪项是威胁建模中“STRIDE”方法的核心要素?

    A.保密性、完整性、可用性

    B.欺骗(Spoofing)、篡改(Tampering)

    C.认证(Authentication)、授权(Authorization)

    D.漏洞扫描、渗透测试

    答案:B

    解析:STRIDE是威胁建模的经典方法,具体指欺骗(Spoofing)、篡改(Tampering)、抵赖(Repudiation)、信息泄露(InformationDisclosure)、拒绝服务(DenialofService)、权限提升(ElevationofPrivilege)。选项A是CIA三要素,C是安全控制措施,D是测试手段,均非STRIDE核心。

    静态代码分析(SAST)工具主要用于SDL的哪个阶段?

    A.需求分析

    B.设计阶段

    C.编码开发

    D.部署运维

    答案:C

    解析:SAST通过分析源代码检测漏洞(如缓冲区溢出、SQL注入),通常在编码阶段集成到IDE或CI/CD流程中。需求和设计阶段无代码产出,运维阶段侧重运行时监控,故排除其他选项。

    以下哪项不属于SDL中“安全需求工程”的关键输出?

    A.安全功能列表(如加密算法要求)

    B.合规性矩阵(如GDPR条款映射)

    C.威胁模型文档

    D.性能测试用例

    答案:D

    解析:安全需求工程关注安全相关的功能性和非功能性需求(如加密、访问控制),性能测试用例属于功能需求范畴,与安全无直接关联。

    OWASPTop10主要用于SDL的哪个环节?

    A.安全需求优先级排序

    B.硬件选型

    C.物理安全设计

    D.人力资源管理

    答案:A

    解析:OWASPTop10列出了最常见的Web应用安全风险(如注入、越权),可用于评估需求阶段安全需求的优先级。其他选项与软件安全无直接关联。

    以下哪项是SDL中“发布阶段”的核心安全活动?

    A.编写安全需求规格书

    B.生成软件SBOM(软件物料清单)

    C.进行单元测试

    D.设计访问控制模型

    答案:B

    解析:发布阶段需确保交付物的安全性可追溯,生成SBOM(记录所有依赖组件)是关键活动,用于后续供应链安全管理。A属于需求阶段,C属于开发阶段,D属于设计阶段。

    以下哪种场景最适合使用交互式应用安全测试(IAST)?

    A.分析未编译的源代码

    B.监控运行中的应用漏洞触发过程

    C.模拟外部攻击者渗透测试

    D.检查基础设施配置合规性

    答案:B

    解析:IAST通过在应用运行时插入探针,实时监控代码执行路径与漏洞触发过程(如SQL注入的参数传递),兼具SAST和DAST的优势。A是SAST,C是DAST,D是配置扫描工具功能。

    SDL中“安全培训”的主要对象不包括?

    A.开发人员

    B.测试人员

    C.用户

    D.项目经理

    答案:C

    解析:SDL培训聚焦于参与开发流程的角色(开发、测试、项目经理),用户培训属于产品上线后的安全意识教育,不属于SDL流程内的活动。

    以下哪项是“安全左移”原则的典型实践?

    A.在项目交付前集中进行一次安全测试

    B.在需求阶段定义安全验收标准

    C.由专门的安全团队负责所有安全活动

    D.仅修复生产环境发现的漏洞

    答案:B

    解析:“安全左移”强调将安全活动提前到开发早期(如需求阶段定义标准),避免后期修复成本过高。其他选项均违背“左移”原则(集中测试、后期修复、职责割裂)。

    以下哪个国际标准明确提到了SDL的最佳实践?

    A.ISO27001

    B.NISTSP800-64

    C.PCIDSS

    D.GDPR

    答案:B

    解析:NISTSP800-64《信息系统开发生命周期中的安全考虑》详细阐述了SDL各阶段的安全控制措施。ISO27001是信息安全管理体系,PCIDSS是支付卡合规标准,GDPR是隐私保护法规,均未专门定义SDL流程。

    二、多项选择题(共10题,每题2分,共20分)

    以下属于SDL“设计阶段”安全活动的有?()

    A.编写安全需求规格书

    B.绘制数据流图(DFD)

    C.选择加密算法(如AES-256)

    D.进行威胁建模(如STRIDE分析)

    答案:BCD

    解析:设计阶段需将安全需求转化为技术方案,包括DFD绘制(识别数据流动路径)、加密算法选择(实现保密性)、威胁建模(基于DFD识别威胁)。A属于需求阶段的活动

    您可能关注的文档

    最近下载

    文档评论(0)

    nastasia + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >