1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2026年安全开发生命周期专家考试题库(附答案和详细解析)(0105).docxVIP

  • 1
  • 0
  • 约8.05千字
  • 约 13页
  • 2026-01-22 发布于上海
  • 举报

2026年安全开发生命周期专家考试题库(附答案和详细解析)(0105).docx

    安全开发生命周期(SDL)专家考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    安全开发生命周期(SDL)的核心起源于以下哪家公司的实践?

    A.IBM

    B.微软

    C.谷歌

    D.亚马逊

    答案:B

    解析:SDL由微软于2004年正式提出,通过整合安全活动到软件开发全周期,解决其产品频繁出现的安全漏洞问题。其他选项公司虽有安全实践,但并非SDL起源。

    以下哪项是威胁建模中STRIDE模型的“权限提升(ElevationofPrivilege)”对应的典型场景?

    A.用户A冒充用户B登录系统

    B.攻击者修改数据库中的用户余额

    C.普通用户获取管理员权限

    D.服务器因流量过大无法响应请求

    答案:C

    解析:STRIDE中“权限提升(E)”指非授权用户获得更高权限,如普通用户获取管理员权限。A对应“欺骗(S)”,B对应“篡改(T)”,D对应“拒绝服务(D)”。

    以下哪种安全测试方法主要用于分析运行中的应用程序?

    A.静态代码分析(SAST)

    B.动态应用安全测试(DAST)

    C.交互式应用安全测试(IAST)

    D.软件成分分析(SCA)

    答案:B

    解析:DAST通过模拟攻击测试运行中的应用,发现运行时漏洞(如SQL注入);SAST分析未运行的代码,IAST结合动静分析,SCA检测第三方依赖漏洞。

    安全需求工程中,“用户密码必须通过HTTPS传输”属于哪类安全需求?

    A.功能需求

    B.性能需求

    C.合规需求

    D.隐私需求

    答案:A

    解析:安全功能需求明确“必须做什么”(如加密传输);合规需求是满足法规(如GDPR),隐私需求关注数据收集与使用限制。

    以下哪项是安全编码规范的主要目标?

    A.提高代码运行效率

    B.预防常见安全漏洞(如XSS、SQL注入)

    C.简化代码维护成本

    D.提升代码可读性

    答案:B

    解析:安全编码规范通过强制规则(如输入验证、输出转义)减少漏洞;其他选项是普通编码规范的目标。

    SDL的核心目标是:

    A.确保软件按时交付

    B.减少软件发布后的安全漏洞数量

    C.降低开发成本

    D.提升用户界面友好性

    答案:B

    解析:SDL通过全周期安全活动(如威胁建模、安全测试)预防漏洞,而非仅关注交付时间或成本。

    安全设计评审的最佳时机是:

    A.需求阶段结束后

    B.设计阶段完成时

    C.开发阶段中期

    D.测试阶段开始前

    答案:B

    解析:设计阶段完成时评审可及时发现架构级安全缺陷(如权限设计不合理),避免后期修复成本过高。

    第三方依赖库管理的核心安全措施是:

    A.优先选择开源库

    B.定期扫描依赖库漏洞(如使用OWASPDependency-Check)

    C.仅使用公司内部开发的库

    D.忽略低风险漏洞

    答案:B

    解析:依赖库可能携带已知漏洞(如Log4j2),定期扫描是关键;开源库未必安全,内部库也需审查。

    安全培训的主要对象是:

    A.仅安全团队成员

    B.全体开发、测试、运维人员

    C.仅项目经理

    D.仅最终用户

    答案:B

    解析:SDL要求全员参与安全(如开发需知安全编码,测试需知安全测试,运维需知配置安全),而非仅安全团队。

    隐私保护的关键原则“数据最小化”指:

    A.不收集任何用户数据

    B.仅收集完成功能所需的最少数据

    C.收集数据后立即删除

    D.对所有数据进行加密

    答案:B

    解析:数据最小化要求“收集必要且最少的数据”,而非完全不收集;加密是保护措施,非最小化本身。

    二、多项选择题(共10题,每题2分,共20分)(每题至少2个正确选项)

    以下属于SDL核心阶段的有:

    A.需求阶段

    B.设计阶段

    C.开发阶段

    D.维护阶段

    答案:ABCD

    解析:SDL覆盖软件全生命周期,包括需求、设计、开发、测试、发布、维护六大阶段,均需嵌入安全活动。

    STRIDE模型包含的威胁类型有:

    A.欺骗(Spoofing)

    B.篡改(Tampering)

    C.抵赖(Repudiation)

    D.性能不足(Performance)

    答案:ABC

    解析:STRIDE包括欺骗(S)、篡改(T)、抵赖(R)、信息泄露(I)、拒绝服务(D)、权限提升(E);“性能不足”不属于威胁类型。

    以下属于安全测试方法的有:

    A.静态代码分析(SAST)

    B.动态应用安全测试(DAST)

    C.渗透测试(PenetrationTesting)

    D.单元测试(UnitTesting)

    答案:ABC

    解析:SAST、DAST、渗透测试均为安全测试方法;单元测试是功能测试,不专门关注安全。

    安全需求的主要来源包括:

    A.业务功能需求

    B.法律法规(如GDPR、等保2.0)

    C.历史漏洞案例

    D.用户界面设计

    答案:ABC

    解析:安全需求需结合业务(如支付需加密)、合规(如

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >