1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2025年安全开发生命周期专家考试题库(附答案和详细解析)(1223).docxVIP

2025年安全开发生命周期专家考试题库(附答案和详细解析)(1223).docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    安全开发生命周期(SDL)专家考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    微软首次正式提出安全开发生命周期(SDL)的时间是?

    A.1998年

    B.2004年

    C.2010年

    D.2015年

    答案:B

    解析:微软于2004年在《SecurityDevelopmentLifecycle》文档中首次系统提出SDL框架,旨在通过流程化方法将安全融入软件开发全周期。其他时间为干扰项,无历史依据。

    威胁建模(ThreatModeling)的核心目标是?

    A.识别系统中的所有技术漏洞

    B.评估攻击者可能利用的路径及潜在影响

    C.生成详细的代码审计报告

    D.确保符合ISO27001合规要求

    答案:B

    解析:威胁建模的核心是通过STRIDE(欺骗、篡改、抵赖、信息泄露、拒绝服务、权限提升)等方法,分析系统资产面临的威胁路径及影响,而非直接识别漏洞(漏洞检测是测试阶段任务)。选项A混淆了威胁建模与漏洞扫描的目标;C是代码审计的输出;D是合规性检查的目标。

    以下哪项属于SDL“需求阶段”的关键活动?

    A.执行静态代码分析(SAST)

    B.定义安全需求规格(SRS)

    C.开展渗透测试(PenetrationTesting)

    D.发布漏洞修复补丁

    答案:B

    解析:需求阶段的核心是明确系统的安全需求(如认证强度、数据加密要求等),形成安全需求规格文档(SRS)。SAST(A)和渗透测试(C)属于测试阶段;漏洞修复(D)属于维护阶段。

    静态代码分析(SAST)主要用于检测以下哪类问题?

    A.运行时资源泄漏

    B.代码逻辑中的不安全模式(如SQL注入)

    C.第三方库的已知漏洞

    D.用户输入验证缺失的动态行为

    答案:B

    解析:SAST通过扫描源代码或字节码,检测代码中潜在的不安全模式(如未经验证的用户输入拼接SQL语句)。运行时问题(A)由动态分析(DAST)检测;第三方库漏洞(C)由软件成分分析(SCA)检测;动态行为(D)需结合运行时数据(如IAST)。

    SDL强调“安全左移”的本质是?

    A.在开发后期集中解决安全问题

    B.将安全活动提前到需求和设计阶段

    C.仅由安全团队负责全流程安全

    D.减少安全测试的时间和成本

    答案:B

    解析:“安全左移”指将安全活动(如需求分析、威胁建模)提前至开发早期,避免后期修复漏洞的高成本。A是传统开发模式的缺陷;C违背SDL“全员参与”原则;D是结果而非本质。

    以下哪项不属于OWASPTop10(2021)中的常见漏洞类型?

    A.失效的身份认证(BrokenAuthentication)

    B.不安全的反序列化(InsecureDeserialization)

    C.内存溢出(BufferOverflow)

    D.安全配置错误(SecurityMisconfiguration)

    答案:C

    解析:OWASPTop10(2021)包含注入、失效的身份认证、敏感数据泄露等10类,内存溢出(C)属于CWE(通用弱点枚举)中的低层级漏洞,未直接列入Top10。

    软件成分分析(SCA)的主要作用是?

    A.检测代码中的语法错误

    B.识别第三方依赖库的已知漏洞

    C.评估系统的可用性指标

    D.验证用户权限分配的合理性

    答案:B

    解析:SCA通过扫描项目依赖的开源库、商业库,结合漏洞数据库(如CVE)识别已知漏洞(如Log4j2.x的RCE漏洞)。语法错误(A)由编译器或IDE检测;可用性(C)是性能测试范畴;权限验证(D)是访问控制测试内容。

    SDL中“发布阶段”的关键活动是?

    A.编写安全编码规范

    B.执行最终安全检查(如合规性审计)

    C.开展威胁建模工作坊

    D.记录漏洞修复的详细过程

    答案:B

    解析:发布阶段需确保系统满足所有安全需求,包括合规性审计(如GDPR数据保护要求)、最终漏洞扫描等。安全编码规范(A)是开发阶段的输入;威胁建模(C)是设计阶段活动;漏洞记录(D)是维护阶段任务。

    以下哪种工具属于交互式应用安全测试(IAST)?

    A.SonarQube(SAST)

    B.BurpSuite(DAST)

    C.ContrastSecurity

    D.Dependency-Check(SCA)

    答案:C

    解析:IAST通过在应用运行时插入探针,结合静态和动态分析(如监控用户输入到数据库查询的数据流),实时检测漏洞(如XSS)。SonarQube(A)是SAST工具;BurpSuite(B)是DAST工具;Dependency-Check(D)是SCA工具。

    以下哪项是SDL中“维护阶段”的核心目标?

    A.确保初始版本无安全漏洞

    B.持续监控运行时安全事件并快速响应

    C.完成所有安全测试报告

    D.定义下一代系统的安全需求

    您可能关注的文档

    最近下载

    文档评论(0)

    134****2152 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >