1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2025年安全开发生命周期专家考试题库(附答案和详细解析)(1231).docxVIP

2025年安全开发生命周期专家考试题库(附答案和详细解析)(1231).docx

此“教育”领域文档为创作者个人分享资料,不作为权威性指导和指引,仅供参考
    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    安全开发生命周期(SDL)专家考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    安全开发生命周期(SDL)的核心思想是?

    A.仅在开发后期进行安全测试

    B.将安全融入软件开发的每个阶段

    C.由专门的安全团队负责所有安全工作

    D.依赖第三方工具完成安全防护

    答案:B

    解析:SDL的核心是“安全左移”(ShiftLeft),强调将安全需求、设计、测试等活动嵌入软件开发的每个阶段(需求、设计、开发、测试、发布、维护),而非仅依赖后期测试或单一团队。选项A错误,因后期测试无法覆盖全周期风险;选项C错误,SDL要求全员参与(开发、测试、产品等);选项D错误,工具是辅助手段,无法替代流程。

    以下哪项是威胁建模(ThreatModeling)的标准方法?

    A.STRIDE

    B.OWASPZAP

    C.SANSTOP20

    D.CVE漏洞库

    答案:A

    解析:STRIDE(Spoofing-伪装、Tampering-篡改、Repudiation-抵赖、InformationDisclosure-信息泄露、DenialofService-拒绝服务、ElevationofPrivilege-权限提升)是微软提出的威胁建模标准方法。选项B是漏洞扫描工具;选项C是漏洞优先级列表;选项D是漏洞数据库,均非威胁建模方法。

    静态代码分析(SAST)通常在SDL的哪个阶段实施?

    A.需求分析阶段

    B.开发阶段

    C.测试阶段

    D.发布阶段

    答案:B

    解析:SAST通过分析未运行的代码检测安全漏洞(如缓冲区溢出、注入漏洞),适合在开发阶段(编码时)集成到IDE或CI/CD流水线中,早期发现问题。需求阶段(A)关注安全需求定义;测试阶段(C)更多使用动态分析(DAST);发布阶段(D)侧重最终合规检查,故B正确。

    以下哪项不属于SDL中的“安全需求”?

    A.用户密码必须采用SHA-256哈希存储

    B.系统需支持每秒1000次请求的负载

    C.敏感数据传输必须使用TLS1.3

    D.管理员操作需记录审计日志

    答案:B

    解析:安全需求应直接关联安全目标(如机密性、完整性、可用性),选项B是性能需求,属于功能需求而非安全需求。其他选项均涉及数据保护(A、C)或操作可追溯性(D),属于安全需求。

    微软SDL的起源与以下哪项事件直接相关?

    A.2003年SQLSlammer蠕虫爆发

    B.2017年WannaCry勒索软件攻击

    C.2008年Heartbleed漏洞

    D.2013年斯诺登事件

    答案:A

    解析:2003年SQLSlammer蠕虫因微软SQLServer的缓冲区溢出漏洞大规模传播,促使微软在2004年正式推出SDL框架,强制将安全流程融入开发全周期。其他事件时间或关联度不符。

    以下哪类工具用于检测运行时的安全漏洞?

    A.静态代码分析(SAST)

    B.动态应用安全测试(DAST)

    C.软件成分分析(SCA)

    D.交互式应用安全测试(IAST)

    答案:B

    解析:DAST通过模拟攻击测试运行中的应用(如发送恶意请求),检测运行时漏洞(如SQL注入、XSS)。SAST(A)分析源代码;SCA(C)检测第三方库漏洞;IAST(D)结合SAST和DAST,但核心仍是运行时检测,不过题干问“用于检测运行时”,B更直接。

    SDL中“安全培训”的主要对象是?

    A.仅安全团队成员

    B.开发、测试、产品经理等全角色

    C.仅高层管理人员

    D.仅最终用户

    答案:B

    解析:SDL强调“安全责任共担”,需所有参与软件开发的角色(开发人员需编写安全代码、测试人员需设计安全用例、产品经理需定义安全需求)接受培训,而非仅安全团队(A)或高层(C)。用户培训(D)属于发布后阶段,但非SDL核心培训对象。

    以下哪项是SDL“发布阶段”的关键活动?

    A.编写安全需求文档

    B.进行渗透测试

    C.生成安全合规报告

    D.设计威胁模型

    答案:C

    解析:发布阶段需确保系统满足所有安全要求,关键活动包括生成合规报告(如符合GDPR、ISO27001)、最终安全审查等。安全需求文档(A)在需求阶段;渗透测试(B)在测试阶段;威胁模型(D)在设计阶段,故C正确。

    OWASPTop10的主要作用是?

    A.定义SDL的具体实施步骤

    B.列出最常见的应用安全风险

    C.提供漏洞修复的具体代码

    D.规范安全测试工具的使用

    答案:B

    解析:OWASPTop10是全球公认的应用安全风险优先级列表(如2021版包括注入、身份验证失效等),帮助组织聚焦高风险问题。它不定义SDL步骤(A)、不提供具体代码(C)、不规范工具使用(D)。

    软件成分分析(SCA)的主要目的是?

    A.检测代码中的逻辑错误

    B.识别第三方库的已知漏洞

    C.

    您可能关注的文档

    最近下载

    文档评论(0)

    180****5323 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >