原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
安全开发生命周期(SDL)专家考试试卷
一、单项选择题(共10题,每题1分,共10分)
安全开发生命周期(SDL)的核心原则是:
A.在开发后期集中进行安全测试
B.将安全需求融入开发全流程
C.仅由安全团队负责安全保障
D.依赖第三方组件无需安全审查
答案:B
解析:SDL的核心是“安全左移”(ShiftLeft),强调从需求阶段开始将安全需求融入开发全流程,而非后期补救(排除A)。安全需全员参与(排除C),第三方组件需进行SCA(软件成分分析)审查(排除D)。
以下哪项是SDL需求阶段的关键活动?
A.代码静态分析(SAST)
B.定义安全需求规范(SRS)
C.漏洞修复优先级排序
D.部署后的日志监控
答案:B
解析:需求阶段的核心是明确安全需求(如认证、授权、数据加密等),形成安全需求规范(SRS)。SAST属于开发/测试阶段(排除A),漏洞修复在测试/发布阶段(排除C),日志监控是运维阶段(排除D)。
威胁建模(ThreatModeling)的主要目的是:
A.生成漏洞扫描报告
B.识别系统潜在威胁并设计防护措施
C.验证代码的功能正确性
D.评估第三方库的许可证合规性
答案:B
解析:威胁建模通过STRIDE(斯瑞德)等方法识别资产、威胁、脆弱性,针对性设计防护(如输入验证、访问控制)。漏洞扫描是安全测试的输出(排除A),功能验证是普通测试(排除C),许可证合规是SCA的部分内容(排除D)。
微软SDL(MicrosoftSDL)的“安全开发生命周期”不包含以下哪个阶段?
A.培训
B.发布后响应
C.代码审计
D.需求确认
答案:C
解析:微软SDL的核心阶段包括培训、需求、设计、开发、测试、发布、响应,但“代码审计”是开发/测试阶段的具体活动(如SAST),而非独立阶段(排除C)。
以下哪种工具属于动态应用安全测试(DAST)?
A.SonarQube(静态分析)
B.OWASPZAP(动态扫描)
C.Dependency-Check(组件分析)
D.BurpSuite(手动渗透测试)
答案:B
解析:DAST通过模拟攻击动态测试运行中的应用,OWASPZAP是典型DAST工具。SonarQube是SAST(排除A),Dependency-Check是SCA(排除C),BurpSuite虽可用于渗透测试,但属于手动工具,非标准化DAST(排除D)。
SDL中“安全配置管理”的主要目标是:
A.确保开发环境与生产环境配置一致
B.限制系统默认账户和不必要的服务
C.定期更新开发人员安全培训
D.记录代码提交的版本变更
答案:B
解析:安全配置管理要求关闭默认账户(如admin/123456)、禁用不必要的端口/服务(如Telnet)、最小化权限,防止配置错误导致的漏洞。环境一致性是CI/CD的要求(排除A),培训是人员管理(排除C),版本记录是代码管理(排除D)。
以下哪项不属于SDL“发布阶段”的关键活动?
A.最终安全审查(FinalSecurityReview)
B.漏洞修复验证(PatchValidation)
C.安全文档交付(如部署手册)
D.威胁建模(ThreatModeling)
答案:D
解析:威胁建模应在设计阶段完成,发布阶段的活动包括最终审查、修复验证、文档交付。威胁建模需在系统设计时识别风险,后期仅更新(排除D)。
SDL中“软件成分分析(SCA)”主要用于:
A.检测代码中的语法错误
B.识别第三方库的已知漏洞
C.评估用户界面的易用性
D.监控生产环境的性能指标
答案:B
解析:SCA通过扫描依赖库(如NPM、Maven)的CVE漏洞(如Log4j2的CVE-2021-44228),确保使用安全版本。语法错误由IDE或SAST检测(排除A),易用性是UI测试(排除C),性能监控是APM工具(排除D)。
以下哪个是SDL“测试阶段”的核心指标?
A.需求覆盖率(RequirementCoverage)
B.漏洞修复时间(MTTR)
C.威胁场景覆盖率(ThreatScenarioCoverage)
D.代码提交频率(CommitFrequency)
答案:C
解析:测试阶段需验证是否覆盖所有威胁场景(如SQL注入、XSS),确保防护措施有效。需求覆盖率是需求阶段指标(排除A),MTTR是发布后响应指标(排除B),提交频率是开发效率指标(排除D)。
SDL强调“安全责任共担”,其含义是:
A.开发团队与安全团队共同签署安全承诺书
B.所有团队成员(开发、测试、运维)需参与安全活动
C.仅项目经理对最终安全结果负责
D.第三方供应商承担全部安全责任
答案:B
解析:SDL要求安全融入
您可能关注的文档
- 2025年ESG分析师考试题库(附答案和详细解析)(1228).docx
- 2025年亚马逊云科技认证考试题库(附答案和详细解析)(1221).docx
- 2025年公共营养师考试题库(附答案和详细解析)(1211).docx
- 2025年房地产估价师考试题库(附答案和详细解析)(1214).docx
- 2025年执业医师资格考试考试题库(附答案和详细解析)(1229).docx
- 2025年算法工程师职业认证考试题库(附答案和详细解析)(1231).docx
- 2025年老年照护师考试题库(附答案和详细解析)(1217).docx
- 2026年信用管理师考试题库(附答案和详细解析)(0101).docx
- CFA二级固定收益中久期与凸性的计算技巧.docx
- CRISPR诊断技术的多重靶标检测创新.docx
文档评论(0)