原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
安全开发生命周期(SDL)专家考试试卷
一、单项选择题(共10题,每题1分,共10分)
安全开发生命周期(SDL)的核心目标是:
A.在开发阶段结束前完成所有安全测试
B.在软件开发全周期中持续管理安全风险
C.仅关注生产环境的安全防护
D.通过事后漏洞修复降低安全成本
答案:B
解析:SDL强调将安全融入软件开发的每个阶段(需求、设计、开发、测试、发布、运维),通过持续风险管控预防安全问题,而非事后补救(排除D)。A错误,因安全测试需贯穿全周期;C错误,SDL覆盖从需求到运维的全流程。
以下哪种工具属于静态应用安全测试(SAST)?
A.OWASPZAP(动态扫描)
B.SonarQube(代码静态分析)
C.Dependency-Check(依赖漏洞扫描)
D.BurpSuite(交互式渗透测试)
答案:B
解析:SAST通过分析未运行的源代码检测漏洞(如缓冲区溢出、SQL注入风险)。SonarQube通过代码规则扫描实现此功能(正确)。A、D为动态测试(DAST)工具;C为软件成分分析(SCA)工具,检测依赖漏洞,非SAST。
威胁建模的关键输出是:
A.代码覆盖率报告
B.风险优先级列表及缓解措施
C.性能测试指标
D.用户需求文档
答案:B
解析:威胁建模通过STRIDE(欺骗、篡改、否认、信息泄露、拒绝服务、权限提升)等方法识别威胁,最终输出需明确风险等级(高/中/低)及对应的缓解策略(如加密、访问控制)。A为测试报告;C为性能目标;D为需求阶段产物,均非威胁建模核心输出。
根据OWASPSDL实践,安全编码规范应在哪个阶段制定?
A.需求阶段
B.设计阶段
C.开发阶段
D.测试阶段
答案:B
解析:设计阶段需明确系统架构和安全控制措施(如输入验证规则、加密算法选择),安全编码规范(如“禁止硬编码密钥”“必须使用参数化查询”)作为设计文档的一部分在此阶段制定。需求阶段定义安全需求(如“数据加密”),开发阶段执行规范,测试阶段验证规范遵守情况,故B正确。
软件成分分析(SCA)的主要目的是:
A.检测代码中的逻辑漏洞
B.识别第三方依赖的已知漏洞
C.评估系统的抗DDOS能力
D.验证用户权限管理的有效性
答案:B
解析:SCA通过扫描项目依赖(如NPM包、Maven库),匹配CVE等漏洞数据库,发现依赖组件的已知漏洞(如Log4j2的CVE-2021-44228)。A为SAST/DAST功能;C为渗透测试或WAF评估;D为访问控制测试,均非SCA目标。
以下哪项不属于SDL运维阶段的安全活动?
A.监控日志中的异常访问
B.定期进行漏洞扫描和渗透测试
C.发布安全补丁并验证修复效果
D.制定安全需求规格说明书
答案:D
解析:运维阶段活动包括持续监控(A)、定期测试(B)、补丁管理(C)。安全需求规格说明书是需求阶段的产物(定义系统应满足的安全要求,如“数据传输必须使用TLS1.3”),故D不属于运维阶段。
最小权限原则在SDL中的典型应用是:
A.要求开发人员使用强密码登录代码仓库
B.限制数据库账户仅拥有执行必要操作的权限
C.在代码中记录所有用户操作日志
D.对敏感数据进行加密存储
答案:B
解析:最小权限原则要求主体(用户/进程)仅拥有完成任务所需的最小权限。B中数据库账户仅具备必要权限(如查询而非删除),符合该原则。A是身份认证要求;C是审计要求;D是数据保护要求,均非最小权限的直接应用。
以下哪项是SDL中“安全验收测试”的核心目标?
A.确保代码符合编码规范
B.验证系统满足所有安全需求
C.检测第三方库的漏洞
D.评估系统的性能瓶颈
答案:B
解析:安全验收测试是发布前的最终验证,确认系统满足需求阶段定义的安全需求(如“用户密码存储必须使用PBKDF2”“API速率限制为10次/分钟”)。A是代码审查目标;C是SCA目标;D是性能测试目标,故B正确。
根据微软SDL框架,“安全培训”应覆盖的对象是:
A.仅开发人员
B.开发、测试、运维等所有参与人员
C.仅安全团队成员
D.仅管理层
答案:B
解析:微软SDL强调全员安全意识,开发人员需掌握安全编码,测试人员需理解安全测试方法,运维人员需熟悉漏洞响应流程,管理层需支持安全投入。因此培训对象应覆盖所有参与软件生命周期的人员(B正确)。
以下哪种漏洞修复策略符合SDL“左移”原则?
A.在生产环境发现漏洞后紧急修复
B.在代码提交前通过静态扫描发现并修复
C.发布后通过用户反馈收集漏洞信息
D.仅在测试阶段进行安全测试
答案:B
解析:“左移”原则指将安全活动提前到开发早期(如需求、设计、编码阶段),而非后期(测试、发布后)。B中代码提交前修复(编码阶段)符合左移
您可能关注的文档
- 2025年云计算架构师考试题库(附答案和详细解析)(1203).docx
- 2025年信息治理专家考试题库(附答案和详细解析)(1209).docx
- 2025年国际注册信托与财富管理师(CTEP)考试题库(附答案和详细解析)(1205).docx
- 2025年安全开发生命周期专家考试题库(附答案和详细解析)(1201).docx
- 2025年工业大数据分析师考试题库(附答案和详细解析)(1203).docx
- 2025年数字营销师(CDMP)考试题库(附答案和详细解析)(1124).docx
- 2025年智能制造工程师考试题库(附答案和详细解析)(1207).docx
- 2025年注册信息系统审计师(CISA)考试题库(附答案和详细解析)(1202).docx
- 2025年注册信息系统审计师(CISA)考试题库(附答案和详细解析)(1210).docx
- 2025年注册展览设计师考试题库(附答案和详细解析)(1209).docx
- 2025年教师资格之小学综合素质精选试题及答案二.docx
- 2025年教师资格之小学综合素质精选试题及答案二.docx
- 2025年教师资格之小学综合素质题库综合试卷B卷附答案.docx
- 2025年教师资格之小学综合素质精选试题及答案二.docx
- 2025年安全拆迁管理方案.doc
- 2025年教师资格之小学教育教学知识与能力高分通关题库A4可打印版.docx
- 2025年服务业公关服务行业数字公关策略发展报告.docx
- 2025年教师资格之小学教育教学知识与能力通关题库(附答案).docx
- 2025年教师资格之小学教育教学知识与能力题库综合试卷A卷附答案.docx
- 2025年教师资格之小学教育教学知识与能力通关题库(附答案).docx
文档评论(0)