原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
安全开发生命周期(SDL)专家考试试卷
一、单项选择题(共10题,每题1分,共10分)
安全开发生命周期(SDL)的核心目标是:
A.提高软件开发效率
B.预防和减少软件安全漏洞
C.满足项目交付时间要求
D.降低开发团队沟通成本
答案:B
解析:SDL的核心目标是通过在软件开发全周期中融入安全实践,系统性预防和减少安全漏洞(参考NISTSDL指南)。选项A(效率)、C(交付时间)、D(沟通)是开发过程的辅助目标,非安全核心。
微软SDL(MicrosoftSDL)最早提出于哪一年?
A.2001
B.2004
C.2008
D.2012
答案:B
解析:微软于2004年正式发布SDL框架,作为应对当时频繁的软件安全漏洞(如SQL注入、缓冲区溢出)的系统性解决方案。其他年份为干扰项。
以下哪项属于SDL需求阶段的核心活动?
A.威胁建模
B.安全需求分析
C.代码静态扫描
D.安全补丁发布
答案:B
解析:需求阶段的核心是明确安全需求(如数据加密等级、身份验证要求),为后续阶段提供依据。A(威胁建模)是设计阶段活动,C(静态扫描)是开发阶段活动,D(补丁发布)是运维阶段活动。
以下哪种工具属于动态应用安全测试(DAST)工具?
A.SonarQube
B.BurpSuite
C.FindBugs
D.Checkmarx
答案:B
解析:DAST通过模拟攻击测试运行中的应用,BurpSuite是典型的DAST工具。A(SonarQube)、C(FindBugs)、D(Checkmarx)均为静态代码分析(SAST)工具,用于分析未运行的代码。
SDL中“安全左移”原则的核心含义是:
A.将安全责任从开发团队转移到安全团队
B.在软件开发早期嵌入安全活动
C.优先修复高风险漏洞而非低风险漏洞
D.减少安全测试的次数以加快交付
答案:B
解析:“安全左移”指将安全活动(如需求分析、威胁建模)提前到开发早期,降低后期修复成本(参考OWASPSDL实践指南)。其他选项与“左移”理念相悖。
以下哪项不属于SDL运维阶段的关键活动?
A.漏洞监控与响应
B.安全配置审计
C.用户权限管理
D.安全需求评审
答案:D
解析:运维阶段关注运行时安全(监控、配置、权限),而安全需求评审属于需求阶段。D为干扰项。
OWASPTop10主要用于指导SDL的哪个阶段?
A.需求阶段
B.设计阶段
C.测试阶段
D.运维阶段
答案:C
解析:OWASPTop10列出了最常见的应用安全风险(如注入、跨站脚本),主要用于测试阶段设计测试用例,验证是否存在这些风险。
以下哪种场景最符合SDL“全员安全责任”原则?
A.仅安全团队负责代码安全审查
B.开发人员接受安全编码培训后编写代码
C.测试人员仅关注功能正确性
D.项目经理不参与安全需求讨论
答案:B
解析:SDL强调全员参与(开发、测试、产品经理等),B选项中开发人员通过培训具备安全能力,符合全员责任原则。其他选项将安全责任局限于特定角色。
以下哪项是SDL发布阶段的核心输出?
A.安全需求规格说明书
B.威胁模型文档
C.安全合规性报告
D.代码静态分析报告
答案:C
解析:发布阶段需确认系统满足所有安全要求(如合规、漏洞修复),输出安全合规性报告作为发布依据。A(需求阶段)、B(设计阶段)、D(开发阶段)为前阶段输出。
以下哪个标准是专门针对软件安全开发生命周期的?
A.ISO27001(信息安全管理体系)
B.NISTSP800-64(系统开发生命周期安全)
C.GDPR(通用数据保护条例)
D.PCIDSS(支付卡行业数据安全标准)
答案:B
解析:NISTSP800-64明确覆盖系统(含软件)开发生命周期的安全要求,是SDL的重要参考标准。其他选项分别针对管理体系(ISO27001)、数据保护(GDPR)、支付安全(PCIDSS)。
二、多项选择题(共10题,每题2分,共20分)(每题至少2个正确选项)
以下属于SDL核心原则的有:
A.安全左移(ShiftLeft)
B.仅依赖安全团队
C.持续安全验证
D.漏洞修复优先级与风险无关
答案:AC
解析:SDL核心原则包括“安全左移”(早期嵌入安全)、“持续验证”(全周期测试)、“全员责任”(非仅安全团队)、“风险驱动”(按风险优先级修复漏洞)。B、D违背核心原则。
SDL设计阶段的关键活动包括:
A.威胁建模(ThreatModeling)
B.安全架构评审
C.编写安全编码规范
D.动态安全测试(DAST)
答案:AB
解析:设计阶段需通过威胁建模识别潜在威胁,评审架构安全性。C(编码规范)是开发阶段活动,D(
您可能关注的文档
- 2025年云计算架构师考试题库(附答案和详细解析)(1203).docx
- 2025年信息治理专家考试题库(附答案和详细解析)(1209).docx
- 2025年国际注册信托与财富管理师(CTEP)考试题库(附答案和详细解析)(1205).docx
- 2025年安全开发生命周期专家考试题库(附答案和详细解析)(1210).docx
- 2025年工业大数据分析师考试题库(附答案和详细解析)(1203).docx
- 2025年数字营销师(CDMP)考试题库(附答案和详细解析)(1124).docx
- 2025年智能制造工程师考试题库(附答案和详细解析)(1207).docx
- 2025年注册信息系统审计师(CISA)考试题库(附答案和详细解析)(1202).docx
- 2025年注册信息系统审计师(CISA)考试题库(附答案和详细解析)(1210).docx
- 2025年注册展览设计师考试题库(附答案和详细解析)(1209).docx
文档评论(0)