原创力文档- 0
- 0
- 约7.4千字
- 约 11页
- 2026-01-15 发布于上海
- 举报
安全开发生命周期(SDL)专家考试试卷
一、单项选择题(共10题,每题1分,共10分)
安全开发生命周期(SDL)的核心思想是?
A.在软件发布前集中进行安全测试
B.将安全活动融入软件开发的每个阶段
C.仅由安全团队负责所有安全工作
D.依赖第三方工具完成安全防护
答案:B
解析:SDL的核心是“安全左移”,强调将安全需求分析、威胁建模、安全测试等活动嵌入需求、设计、开发、测试等全生命周期阶段(微软SDL框架明确提出)。选项A错误,因集中测试不符合“持续安全”理念;选项C错误,SDL要求开发、测试、安全团队协作;选项D错误,工具是辅助手段而非核心。
以下哪项是需求阶段的关键安全活动?
A.代码静态分析(SAST)
B.初始威胁建模
C.渗透测试
D.生产环境加固
答案:B
解析:需求阶段的核心安全活动包括安全需求提取、初始威胁建模(STRIDE方法)、合规性评估(如GDPR/等保要求)。选项A属于开发阶段;选项C属于测试阶段;选项D属于发布后维护阶段。
微软SDL框架中“安全培训”应在哪个阶段实施?
A.需求阶段
B.设计阶段
C.开发阶段前
D.测试阶段
答案:C
解析:微软SDL要求开发人员在编写代码前必须接受安全编码培训(如输入验证、OWASPTop10防护),确保开发阶段具备安全意识。其他阶段为补充培训而非强制初始阶段。
以下哪种测试方法属于动态应用安全测试(DAST)?
A.分析源代码检测缓冲区溢出
B.通过模拟用户操作检测XSS漏洞
C.检查依赖库的已知漏洞(SCA)
D.逆向工程二进制文件
答案:B
解析:DAST通过运行中的应用程序进行测试(如使用BurpSuite模拟攻击),属于黑盒测试。选项A是SAST(静态测试);选项C是SCA(组件分析);选项D是二进制分析(属于SAST扩展)。
SDL中“威胁建模”的主要工具是?
A.STRIDE模型
B.OWASPZAP
C.SonarQube
D.Nessus
答案:A
解析:STRIDE(欺骗、篡改、否认、信息泄露、拒绝服务、权限提升)是威胁建模的经典分类方法。选项B是DAST工具;选项C是SAST工具;选项D是漏洞扫描工具。
以下哪项不属于SDL的核心目标?
A.降低软件发布后的安全漏洞数量
B.减少漏洞修复的时间和成本
C.确保所有功能满足性能需求
D.提升开发团队的安全意识
答案:C
解析:SDL聚焦安全目标(漏洞管理、成本控制、意识提升),性能需求属于功能测试范畴。选项C混淆了安全与功能目标。
合规性要求(如ISO27034)应在SDL的哪个阶段纳入?
A.需求阶段
B.设计阶段
C.测试阶段
D.发布阶段
答案:A
解析:合规性需在需求阶段明确(如数据隐私、加密标准),后续阶段(设计、开发)需落实,测试阶段验证。早期纳入可避免后期返工。
以下哪种场景最符合SDL“安全默认配置”原则?
A.数据库默认开启远程访问
B.Web服务器默认关闭不必要的端口
C.应用默认使用弱密码策略
D.API默认不验证客户端身份
答案:B
解析:安全默认配置要求系统初始化时采用最小权限原则(关闭非必要服务、端口)。选项A、C、D均违反“最小权限”,增加默认风险。
SDL中“可追溯性矩阵”的主要作用是?
A.记录漏洞修复进度
B.关联安全需求与测试用例
C.统计代码行数
D.监控服务器性能
答案:B
解析:可追溯性矩阵用于确保每个安全需求(如“用户密码需SHA-256加盐哈希”)都有对应的测试用例验证,避免需求遗漏。选项A是缺陷管理工具的功能;C、D与安全无关。
以下哪项是SDL“发布阶段”的关键活动?
A.编写用户手册
B.生成安全配置指南
C.进行单元测试
D.开展代码走查
答案:B
解析:发布阶段需提供安全部署文档(如防火墙规则、账号权限配置),确保运维人员正确部署。选项A是文档工作;C是开发阶段;D是开发/测试阶段。
二、多项选择题(共10题,每题2分,共20分)
安全开发生命周期(SDL)的典型阶段包括?()
A.需求分析
B.系统设计
C.代码开发
D.生产维护
答案:ABCD
解析:SDL覆盖从需求到退役的全周期,包括需求(安全需求提取)、设计(安全架构设计)、开发(安全编码)、测试(安全测试)、发布(安全部署)、维护(漏洞修复)等阶段。
需求阶段的安全活动包括?()
A.识别关键资产(如用户数据、支付接口)
B.制定安全编码规范
C.进行初始威胁建模(STRIDE)
D.评估合规性要求(如PCIDSS)
答案:ACD
解析:需求阶段需明确安全需求(资产识别)、启动威胁建模、评估合规性。选项B(编码规范)属于开发阶段前的准备活动。
以下属于SDL“安
您可能关注的文档
- 2025年国际会议口译资格认证(CIIC)考试题库(附答案和详细解析)(1225).docx
- 2025年国际物流师考试题库(附答案和详细解析)(1227).docx
- 2025年文物拍卖从业人员资格证考试题库(附答案和详细解析)(1228).docx
- 2025年注册风险控制师(CRC)考试题库(附答案和详细解析)(1208).docx
- 2026年建筑节能评估师考试题库(附答案和详细解析)(0108).docx
- 2026年注册测绘师考试题库(附答案和详细解析)(0101).docx
- 2026年注册职业卫生评估师考试题库(附答案和详细解析)(0107).docx
- 2026年社会心理服务人员考试题库(附答案和详细解析)(0108).docx
- 468元一个龙虾尾.docx
- AI破解出海增长困局,易蛙智能助力商家实现效率平权.docx
最近下载
- 2024年湖南汽车工程职业学院单招职业技能测试题库及答案(历年真题).docx VIP
- 广东省潮州市2024-2025学年高三上学期期末教学质量检测物理试卷.docx VIP
- 上海电力学院大一机械制图C习题本解答(造福学弟,不谢)-新版.pptx
- 广东省潮州市2024-2025学年高二上学期期末教学质量检测物理试卷(含答案).docx VIP
- 新生儿身份识别制度.pptx
- 康迪泰克空气弹簧.pdf VIP
- LY/T 2817-2017山桐子栽培技术规程.pdf
- 缓刑担保承诺书范文.docx VIP
- 记账实操-电梯保养公司会计账务处理分录.doc
- 脑机接口专利关键技术白皮书-复旦大学-2025.pdf VIP
文档评论(0)