原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
安全开发生命周期(SDL)专家考试试卷
一、单项选择题(共10题,每题1分,共10分)
安全开发生命周期(SDL)的核心目标是?
A.仅在测试阶段发现并修复漏洞
B.在软件开发全周期中融入安全实践,降低安全风险
C.替代传统的安全运维流程
D.仅关注合规性要求而忽略实际安全风险
答案:B
解析:SDL强调“安全左移”,要求在需求、设计、开发、测试、部署等全周期阶段融入安全措施(如威胁建模、安全编码、漏洞扫描等),而非仅依赖后期测试(排除A)。SDL是对传统流程的补充而非替代(排除C),且需同时关注合规与实际风险(排除D)。
以下哪项是微软SDL(MicrosoftSDL)的标志性实践?
A.在部署阶段进行渗透测试
B.需求阶段定义安全功能点
C.强制要求开发人员完成安全培训
D.仅使用第三方工具进行漏洞扫描
答案:C
解析:微软SDL的核心要求包括强制安全培训、威胁建模、静态代码分析等(C正确)。渗透测试应在测试阶段而非仅部署阶段(排除A);安全需求定义是通用SDL实践,非微软特有(排除B);SDL强调工具与人工审查结合(排除D)。
威胁建模的经典模型STRIDE中,“Spoofing”指的是?
A.信息泄露
B.权限提升
C.身份伪造
D.拒绝服务
答案:C
解析:STRIDE模型中,S(Spoofing)指身份伪造(如伪造用户凭证),T(Tampering)为数据篡改,R(Repudiation)为抵赖,I(InformationDisclosure)为信息泄露,D(DenialofService)为拒绝服务,E(ElevationofPrivilege)为权限提升(排除A、B、D)。
静态代码分析(SAST)工具主要用于检测?
A.运行时内存溢出漏洞
B.代码中的不安全编码模式
C.用户输入验证缺陷
D.网络传输中的加密问题
答案:B
解析:SAST通过分析源代码或字节码,检测缓冲区溢出、SQL注入等编码缺陷(B正确)。运行时漏洞需动态分析(DAST)检测(排除A);用户输入验证需结合动态测试(排除C);网络加密问题属于协议层检测(排除D)。
以下哪项不属于SDL部署阶段的安全活动?
A.配置安全基线检查
B.生成漏洞修复报告
C.部署前安全配置审计
D.应急响应方案验证
答案:B
解析:部署阶段的核心活动包括配置审计、基线检查、应急演练等(A、C、D正确)。漏洞修复报告应在测试阶段生成(B错误)。
合规性要求(如GDPR、等保2.0)应在SDL的哪个阶段融入?
A.需求分析阶段
B.开发编码阶段
C.测试验证阶段
D.运维维护阶段
答案:A
解析:合规需求(如数据分类、隐私保护)需在需求阶段明确,并转化为具体的安全功能点(A正确)。后期阶段仅能验证是否满足需求(排除B、C、D)。
以下哪种漏洞修复策略符合SDL“安全左移”原则?
A.生产环境发现漏洞后紧急修复
B.代码提交前通过静态扫描修复
C.测试阶段发现漏洞后批量修复
D.部署后定期进行漏洞扫描修复
答案:B
解析:“安全左移”强调尽早发现并修复漏洞(如开发阶段代码提交前修复),降低后期修复成本(B正确)。其他选项均为后期修复(排除A、C、D)。
OWASPTop10主要用于指导SDL的哪个阶段?
A.需求阶段定义安全需求
B.设计阶段选择安全架构
C.测试阶段验证安全控制
D.运维阶段监控安全事件
答案:C
解析:OWASPTop10列出了最常见的应用层安全风险(如注入、身份验证失效),主要用于测试阶段设计测试用例,验证系统是否抵御这些风险(C正确)。
以下哪项是SDL中“安全培训”的核心目标?
A.确保开发人员通过认证考试
B.提升全员安全意识与技术能力
C.满足合规性的培训时长要求
D.仅培训安全团队成员
答案:B
解析:SDL安全培训的目标是让开发、测试、运维等全员掌握安全知识(如安全编码规范、漏洞识别),而非仅认证或合规(B正确,排除A、C);培训对象需覆盖全员(排除D)。
云原生应用SDL中,“基础设施即代码(IaC)”的安全重点是?
A.代码版本控制
B.配置文件的安全审计
C.容器镜像的大小优化
D.微服务间的负载均衡
答案:B
解析:IaC的安全核心是确保基础设施配置(如云资源权限、网络策略)符合安全基线,需通过工具(如TFLint)审计配置文件(B正确)。版本控制、镜像优化、负载均衡属于功能需求(排除A、C、D)。
二、多项选择题(共10题,每题2分,共20分)(每题至少2个正确选项)
安全开发生命周期(SDL)的关键原则包括?
A.安全责任仅由安全团队承担
B.安全需求与功能需求同步规划
C.安全测试仅在发布前执行一次
D.全周期持续进
您可能关注的文档
最近下载
- 手工焊接要求及验收标准.doc VIP
- Unit 8 Chinese New Year (story time)(课件)六年级英语上学期(译林版三起).pptx VIP
- 新能源车辆维护与保养手册.docx VIP
- 丽声拼读故事会第四级 Queen Anneena's Feast教学设计.pdf VIP
- 新四年级英语上册U7教案2025.9.docx
- 2025年秋季学期形势与政策课(第六讲 践行多边主义完善全球治理).ppt VIP
- (完整版)西交大少年班选拔试题语文试题.pdf VIP
- MySQL数据库原理设计与应用习题库(附答案).docx VIP
- 传输网的简要发展.ppt VIP
- 地聚物胶凝材料制备及应用研究现状.doc VIP
文档评论(0)