原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
安全开发生命周期(SDL)专家考试试卷
一、单项选择题(共10题,每题1分,共10分)
安全开发生命周期(SDL)的核心目标是:
A.降低开发成本
B.在软件发布后修复所有安全漏洞
C.将安全融入软件开发全流程,预防安全风险
D.仅关注代码层面的安全检查
答案:C
解析:SDL的核心是“预防为主”,通过在需求、设计、开发、测试等全生命周期阶段嵌入安全活动,而非事后修复(B错误)或单一环节检查(D错误)。降低成本(A)是间接效果,非核心目标。
以下哪项属于SDL需求阶段的关键活动?
A.代码静态分析(SAST)
B.安全需求规格说明书编写
C.渗透测试
D.依赖组件漏洞扫描(SCA)
答案:B
解析:需求阶段需明确安全需求(如数据加密等级、访问控制要求),并形成文档(B正确)。SAST(A)、渗透测试(C)、SCA(D)均属于开发或测试阶段活动。
威胁建模(ThreatModeling)的主要方法“STRIDE”中,“I”代表:
A.信息泄露(InformationDisclosure)
B.中间人攻击(Interception)
C.身份仿冒(Impersonation)
D.完整性破坏(Tampering)
答案:D
解析:STRIDE是威胁分类模型,具体为:Spoofing(仿冒)、Tampering(篡改)、Repudiation(抵赖)、InformationDisclosure(信息泄露)、DenialofService(拒绝服务)、ElevationofPrivilege(权限提升)。因此“I”对应信息泄露(A错误),“T”对应篡改(D正确)。
微软SDL(MicrosoftSDL)提出的“安全开发生命周期”最早发布于:
A.2001年
B.2004年
C.2008年
D.2012年
答案:B
解析:微软于2004年正式发布SDL框架,作为应对频繁安全漏洞的系统性解决方案(B正确)。
安全编码规范(SecureCodingGuidelines)的核心作用是:
A.替代安全测试
B.帮助开发人员避免常见编码漏洞(如SQL注入、XSS)
C.仅适用于Java语言
D.强制要求使用特定开发工具
答案:B
解析:安全编码规范通过提供具体规则(如输入验证、输出编码),指导开发人员写出更安全的代码(B正确)。它不能替代测试(A错误),且适用于多语言(C错误),不强制工具(D错误)。
以下哪项不属于SDL部署阶段的安全活动?
A.配置安全基线检查
B.实时漏洞监控与响应
C.用户隐私政策更新
D.依赖库版本升级
答案:C
解析:部署阶段关注运行环境安全(如配置检查A)、持续监控(B)和组件更新(D)。用户隐私政策属于需求或发布阶段的合规活动(C错误)。
动态应用安全测试(DAST)的主要特点是:
A.分析未运行的源代码
B.模拟攻击者行为测试运行中的应用
C.仅检测已知漏洞特征
D.适用于开源组件漏洞扫描
答案:B
解析:DAST通过向运行中的应用发送请求(如模拟用户输入),检测运行时漏洞(B正确)。分析源代码是SAST(A错误),SCA用于依赖库(D错误)。
SDL中“安全培训”通常应覆盖的对象是:
A.仅开发人员
B.开发、测试、运维等全角色
C.仅管理层
D.仅用户
答案:B
解析:安全需全员参与,开发(写安全代码)、测试(设计安全用例)、运维(配置安全环境)等角色均需培训(B正确)。
以下哪项是SDL“维护阶段”的核心任务?
A.编写安全需求文档
B.修复已发现的漏洞并发布补丁
C.进行初始渗透测试
D.完成威胁建模报告
答案:B
解析:维护阶段需持续监控运行中的系统,修复新发现的漏洞(B正确)。其他选项属于需求(A)、测试(C)、设计(D)阶段。
OWASPTop10是SDL中常用的参考标准,其主要作用是:
A.定义软件开发的项目管理流程
B.列出最常见的Web应用安全风险
C.规定代码行数的安全阈值
D.指导硬件设备的安全配置
答案:B
解析:OWASPTop10每年更新,聚焦Web应用最关键的10类安全风险(如注入、身份验证失效),为SDL各阶段提供风险优先级参考(B正确)。
二、多项选择题(共10题,每题2分,共20分)
以下属于SDL核心原则的有:
A.安全左移(ShiftLeft)
B.责任分散(NoSingleOwner)
C.持续改进(ContinuousImprovement)
D.仅关注合规(ComplianceOnly)
答案:AC
解析:SDL强调“安全左移”(在早期阶段解决安全问题)和“持续改进”(通过反馈优化流程)。安全需明确责任主体(B错误),合规是基础但非唯一目标
您可能关注的文档
- 2025年企业合规师考试题库(附答案和详细解析)(1202).docx
- 2026年土地估价师考试题库(附答案和详细解析)(0104).docx
- 2026年智能制造工程师考试题库(附答案和详细解析)(0102).docx
- 2026年注册空调工程师考试题库(附答案和详细解析)(0105).docx
- 2026年注册金融工程师(CFE)考试题库(附答案和详细解析)(0107).docx
- 2026年灾难应对心理师考试题库(附答案和详细解析)(0103).docx
- 2026年短视频制作师考试题库(附答案和详细解析)(0101).docx
- 2026年第一杯敬老己.docx
- 2026年西式面点师考试题库(附答案和详细解析)(0107).docx
- OpenAI大佬爆料:打字太慢拖后腿,人类竟成了AGI短板?.docx
文档评论(0)