1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2025年安全开发生命周期专家考试题库(附答案和详细解析)(1127).docxVIP

2025年安全开发生命周期专家考试题库(附答案和详细解析)(1127).docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    安全开发生命周期(SDL)专家考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    安全开发生命周期(SDL)的核心思想是:

    A.仅在项目后期进行安全测试

    B.将安全活动融入软件开发全流程

    C.依赖第三方工具替代人工安全审查

    D.由安全团队独立负责所有安全工作

    答案:B

    解析:SDL的核心是“安全左移”(ShiftLeft),强调将安全需求分析、威胁建模、安全测试等活动嵌入需求、设计、开发、测试等全生命周期阶段,而非仅后期测试(A错误)。SDL要求开发、测试、安全团队协作(D错误),工具是辅助手段(C错误)。

    微软SDL框架首次正式提出的时间是:

    A.1998年

    B.2004年

    C.2010年

    D.2015年

    答案:B

    解析:微软于2004年因多次安全事件(如Blaster蠕虫)推动SDL方法论,要求将安全作为开发流程的强制环节(B正确)。其他时间为干扰项。

    以下哪项属于需求阶段的核心安全活动?

    A.代码静态分析

    B.安全需求规格说明书编写

    C.渗透测试

    D.依赖库漏洞扫描

    答案:B

    解析:需求阶段需明确系统安全目标,输出安全需求规格说明书(B正确)。代码分析(开发阶段)、渗透测试(测试阶段)、依赖扫描(开发/测试阶段)均非需求阶段核心(A/C/D错误)。

    威胁建模(ThreatModeling)的经典方法STRIDE中,“E”代表:

    A.权限提升(ElevationofPrivilege)

    B.信息泄露(ExposureofInformation)

    C.拒绝服务(DenialofService)

    D.篡改(Tampering)

    答案:A

    解析:STRIDE是威胁分类模型,对应:Spoofing(仿冒)、Tampering(篡改)、Repudiation(抵赖)、InformationDisclosure(信息泄露)、DenialofService(拒绝服务)、ElevationofPrivilege(权限提升)(A正确)。

    以下工具中,属于动态代码分析(DAST)的是:

    A.SonarQube

    B.OWASPZAP

    C.FortifySCA

    D.Coverity

    答案:B

    解析:动态分析(DAST)通过模拟攻击测试运行中的系统,OWASPZAP是典型的动态扫描工具(B正确)。SonarQube(静态)、FortifySCA(依赖分析)、Coverity(静态)均为静态或混合工具(A/C/D错误)。

    SDL中“安全配置管理”的主要目标是:

    A.确保开发环境与生产环境配置一致

    B.防止因错误配置导致的安全漏洞

    C.优化系统性能参数

    D.简化运维操作流程

    答案:B

    解析:安全配置管理通过标准化、最小权限原则等措施,避免因默认配置(如开放不必要端口)、权限过高(如管理员账户未禁用)等导致的漏洞(B正确)。性能优化(C)、环境一致(A)是附加效果,非核心目标。

    以下哪项不属于SDL“发布阶段”的安全活动?

    A.最终安全审核(FinalSecurityReview)

    B.依赖库漏洞扫描(SCA)

    C.应急响应计划部署

    D.安全配置基线验证

    答案:B

    解析:依赖库漏洞扫描(SCA)通常在开发或测试阶段进行,用于识别第三方库的已知漏洞(B错误)。发布阶段需完成最终审核、验证配置、部署应急计划(A/C/D正确)。

    SDL“维护阶段”的关键活动是:

    A.编写安全需求文档

    B.持续监控与漏洞响应

    C.设计威胁模型

    D.执行渗透测试

    答案:B

    解析:维护阶段需通过日志监控、漏洞情报跟踪等持续发现风险,并快速修复(B正确)。需求文档(需求阶段)、威胁模型(设计阶段)、渗透测试(测试阶段)均非维护阶段核心(A/C/D错误)。

    OWASPSDL指南中“安全培训”的主要对象是:

    A.仅安全团队成员

    B.开发、测试、运维等全角色

    C.高层管理人员

    D.最终用户

    答案:B

    解析:OWASP强调安全是全员责任,需对开发(编写安全代码)、测试(设计安全用例)、运维(配置安全环境)等所有参与开发流程的角色进行培训(B正确)。

    以下哪项是SDL“安全测试”阶段的输出物?

    A.安全需求规格说明书

    B.威胁模型文档

    C.漏洞修复报告

    D.系统架构设计图

    答案:C

    解析:安全测试阶段通过动态/静态测试、渗透测试等发现漏洞,输出修复报告(C正确)。需求文档(需求阶段)、威胁模型(设计阶段)、架构图(设计阶段)均为前期输出(A/B/D错误)。

    二、多项选择题(共10题,每题2分,共20分)

    以下属于SDL核心原则的有:

    A.安全左移(ShiftLeft)

    B.持续验证(ContinuousVerification)

    C.责任共担(SharedR

    您可能关注的文档

    最近下载

    文档评论(0)

    MenG + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >