2025年信息系统安全专家NIST框架在DevSecOps中的集成专题试卷及解析.pdfVIP

2025年信息系统安全专家NIST框架在DEVSECOPS中的集成专题试卷及解析1

2025年信息系统安全专家NIST框架在DevSecOps中

的集成专题试卷及解析

2025年信息系统安全专家NIST框架在DevSecOps中的集成专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在NIST网络安全框架（CSF）中，哪个核心功能最直接对应DevSecOps中的”

安全左移”理念？

A、识别（Identify）

B、保护（Protect）

C、检测（Detect）

D、响应（Respond）

【答案】B

【解析】正确答案是B。保护功能包括实施安全控制措施，这与DevSecOps将安

全融入开发全流程的理念一致。A选项侧重资产识别，C选项侧重威胁检测，D选项

侧重事件响应，都不如B选项直接对应”安全左移”。知识点：NISTCSF五大功能与

DevSecOps的对应关系。易错点：容易误选A，因为识别是安全基础，但”安全左移”更

强调主动防护。

2、在DevSecOps流水线中，NIST框架的”恢复（Recover）“功能主要通过哪种实

践实现？

A、静态代码分析

B、容器镜像扫描

C、自动化备份与恢复

D、渗透测试

【答案】C

【解析】正确答案是C。恢复功能关注系统受攻击后的恢复能力，自动化备份与恢

复正是DevSecOps中实现这一目标的关键实践。A、B、D选项分别对应保护、检测功

能。知识点：NISTCSF功能与DevSecOps工具链的映射。易错点：容易混淆检测与恢

复功能，需注意恢复强调的是业务连续性。

3、NISTSP800190标准主要针对DevSecOps中的哪个方面？

A、持续集成流程

B、容器安全

C、API安全

D、云安全配置

【答案】B

2025年信息系统安全专家NIST框架在DEVSECOPS中的集成专题试卷及解析2

【解析】正确答案是B。NISTSP800190是《容器安全指南》，专门解决容器技术

带来的安全挑战。A、C、D选项虽然也是DevSecOps关注点，但不是该标准的核心内

容。知识点：NIST专项指南与DevSecOps技术栈的对应关系。易错点：容易将NIST

通用框架与专项指南混淆。

4、在DevSecOps中实施NIST框架时，“风险容忍度”的确定主要属于哪个阶段？

A、治理（Govern）

B、设计（Design）

C、开发（Develop）

D、部署（Deploy）

【答案】A

【解析】正确答案是A。风险容忍度是组织层面的战略决策，属于治理阶段的职责。

其他阶段更多是执行层面的工作。知识点：DevSecOps生命周期与风险管理的关系。易

错点：容易误选B，因为设计阶段会考虑风险控制措施，但容忍度本身是治理决策。

5、NISTCSF的”识别”功能在DevSecOps中主要通过哪种活动实现？

A、威胁建模

B、漏洞扫描

C、安全监控

D、事件响应

【答案】A

【解析】正确答案是A。威胁建模帮助识别系统面临的潜在威胁，是识别功能的核

心实践。B、C、D分别对应保护、检测、响应功能。知识点：NIST功能与DevSecOps

活动的对应关系。易错点：容易将识别与检测混淆，需注意识别是主动的，检测是被动

的。

6、在DevSecOps中，NIST框架的”检测”功能主要通过哪种技术手段实现？

A、静态应用安全测试（SAST）

B、动态应用安全测试（DAST）

C、运行时应用自我保护（RASP）

D、基础设施即代码（IaC）扫描

【答案】C

【解析】正确答案是C。RASP能在运行时实时检测攻击，最符合检测功能的要求。

A、B、D更多属于保护功能。知识点：安全测试技术与NIST功能的映射。易错点：容

易误选B，因为DAST也是检测手段，但RASP更符合实时检测的要求。

7、NIS