1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2025年安全开发生命周期专家考试题库(附答案和详细解析)(1220).docxVIP

2025年安全开发生命周期专家考试题库(附答案和详细解析)(1220).docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    安全开发生命周期(SDL)专家考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    安全开发生命周期(SDL)的核心目标是?

    A.降低软件开发成本

    B.保护软件全生命周期的安全性

    C.提高软件交付速度

    D.优化用户界面交互体验

    答案:B

    解析:SDL的核心是通过在软件开发的每个阶段(需求、设计、开发、测试、部署、维护)集成安全活动,系统性地降低安全风险,确保软件全生命周期的安全性。其他选项均偏离SDL的核心目的(A为成本优化,C为效率提升,D为用户体验)。

    威胁建模(ThreatModeling)最迫切需要实施的阶段是?

    A.需求分析阶段

    B.编码开发阶段

    C.测试验证阶段

    D.上线部署阶段

    答案:A

    解析:威胁建模应在需求分析阶段尽早启动,通过识别系统资产、威胁主体和攻击路径,为后续设计和开发提供安全指导。若延迟到开发或测试阶段,可能导致安全设计缺陷难以修复(B、C、D阶段修复成本更高)。

    静态代码分析(SAST)主要检测的对象是?

    A.运行中的系统漏洞

    B.代码中的潜在安全缺陷

    C.网络传输中的数据泄露

    D.硬件设备的物理安全隐患

    答案:B

    解析:SAST通过分析源代码、字节码或二进制代码,识别缓冲区溢出、SQL注入等静态代码缺陷。A是动态分析(DAST)的对象,C属于网络安全检测,D与代码无关。

    以下哪项不属于SDL“部署阶段”的关键活动?

    A.部署前安全配置检查

    B.漏洞修复后的回归测试

    C.生产环境访问权限审计

    D.用户使用手册编写

    答案:D

    解析:部署阶段的核心是确保上线后的系统安全,包括配置检查(A)、权限审计(C)和修复验证(B)。用户手册编写属于文档交付,与安全无直接关联(D)。

    微软SDL框架中“安全培训”应覆盖的对象是?

    A.仅开发人员

    B.开发、测试、运维全角色

    C.仅安全团队

    D.仅管理层

    答案:B

    解析:SDL要求全员参与安全,开发人员需掌握安全编码,测试人员需理解安全测试方法,运维人员需熟悉安全配置,因此培训需覆盖全角色(B)。其他选项范围过窄(A、C、D)。

    以下哪种场景最适合使用交互式应用安全测试(IAST)?

    A.分析未编译的源代码

    B.检测运行中系统的实时漏洞

    C.评估网络边界的防火墙规则

    D.验证加密算法的强度

    答案:B

    解析:IAST通过集成在应用运行时(如JVM)监控代码执行和数据流,实时检测漏洞(如SQL注入的实际触发),适用于运行时场景(B)。A是SAST,C是网络安全检测,D是加密算法验证工具。

    SDL中“安全需求”的主要来源不包括?

    A.行业合规标准(如GDPR)

    B.用户的功能性需求(如“支持文件上传”)

    C.历史漏洞库中的常见风险

    D.业务场景的敏感数据类型(如个人身份信息)

    答案:B

    解析:安全需求需基于合规(A)、历史风险(C)和数据敏感性(D),而用户的功能性需求(如文件上传)是普通需求,需进一步转化为安全需求(如“限制上传文件类型”)。因此B不属于安全需求来源。

    以下哪项是“安全设计”阶段的核心输出?

    A.测试用例文档

    B.威胁模型文档

    C.漏洞修复报告

    D.部署脚本

    答案:B

    解析:安全设计阶段通过威胁建模生成威胁模型文档(包含资产、威胁、缓解措施),指导后续开发(B)。A是测试阶段输出,C是修复阶段输出,D是部署阶段输出。

    在敏捷开发中实施SDL的关键策略是?

    A.将所有安全活动集中到迭代末期

    B.通过自动化工具实现“安全左移”

    C.仅由安全团队负责安全测试

    D.忽略小版本迭代的安全检查

    答案:B

    解析:敏捷强调快速迭代,需通过自动化工具(如CI/CD中集成SAST)将安全活动提前到开发初期(“左移”),避免末期集中修复(B正确)。A会导致修复成本高,C违背全员安全原则,D增加风险。

    以下哪项不属于SDL“维护阶段”的安全活动?

    A.监控系统日志中的异常访问

    B.定期更新依赖库的安全补丁

    C.对用户反馈的新功能进行需求分析

    D.开展渗透测试验证系统抗攻击能力

    答案:C

    解析:维护阶段的核心是持续保障系统安全(A监控、B补丁、D渗透测试)。新功能需求分析属于需求阶段(C),不属于维护阶段。

    二、多项选择题(共10题,每题2分,共20分)

    以下属于SDL“需求阶段”关键活动的有?()

    A.定义安全需求(如“用户密码需哈希存储”)

    B.开展初始威胁建模(识别系统资产)

    C.编写单元测试用例

    D.审查合规性要求(如PCIDSS)

    答案:ABD

    解析:需求阶段需明确安全需求(A)、启动威胁建模(B)、合规审查(D)。单元测试用例编写属于开发阶段(C错误)。

    常见的动态安全测试(DAST)工具有?()

    A.OWASPZAP

    B.SonarQube

    C.BurpSu

    您可能关注的文档

    最近下载

    文档评论(0)

    gyf70 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >