1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2026年安全开发生命周期专家考试题库(附答案和详细解析)(0101).docxVIP

  • 0
  • 0
  • 约8.64千字
  • 约 12页
  • 2026-01-30 发布于上海
  • 举报

2026年安全开发生命周期专家考试题库(附答案和详细解析)(0101).docx

    安全开发生命周期(SDL)专家考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    安全开发生命周期(SDL)的核心目标是:

    A.确保系统在发布前通过所有功能测试

    B.在开发过程中持续降低安全风险

    C.满足合规性要求(如GDPR)

    D.提升开发团队的编码效率

    答案:B

    解析:SDL的核心是通过在开发全周期融入安全活动(如威胁建模、安全测试等),从源头降低安全风险。A是传统测试目标,C是合规要求之一但非核心,D是开发效率目标,均不符合SDL本质。

    以下哪项是SDL中“需求分析阶段”的关键安全活动?

    A.代码静态分析(SAST)

    B.编写安全需求规格说明书

    C.渗透测试

    D.安全补丁管理

    答案:B

    解析:需求分析阶段需明确安全需求(如数据加密等级、身份认证要求),形成安全需求规格说明书。A(SAST)是开发阶段活动,C(渗透测试)是测试阶段活动,D(补丁管理)是运营阶段活动。

    STRIDE模型主要用于以下哪项SDL活动?

    A.安全编码规范制定

    B.威胁建模中的威胁分类

    C.漏洞修复优先级排序

    D.安全培训内容设计

    答案:B

    解析:STRIDE(欺骗、篡改、否认、信息泄露、拒绝服务、权限提升)是威胁建模中常用的威胁分类模型。A是编码阶段活动,C需结合CVSS等漏洞评分,D是培训管理范畴。

    以下哪类工具属于动态应用安全测试(DAST)?

    A.SonarQube(代码静态分析)

    B.OWASPZAP(网络扫描)

    C.Dependency-Check(依赖漏洞检测)

    D.FortifySCA(软件成分分析)

    答案:B

    解析:DAST通过模拟攻击测试运行中的系统,ZAP是典型的动态扫描工具。A、C、D均为静态分析或成分分析工具,属于SAST或SCA范畴。

    微软SDL(MicrosoftSDL)的“安全开发生命周期”最早提出于哪一年?

    A.2001年

    B.2004年

    C.2008年

    D.2012年

    答案:B

    解析:微软于2004年正式发布SDL指南,作为其产品开发的安全规范。其他年份为后续更新或其他框架发布时间。

    在SDL的“发布阶段”,关键安全活动是?

    A.编写用户安全手册

    B.执行威胁建模

    C.实施代码审查

    D.进行安全培训

    答案:A

    解析:发布阶段需确保用户了解如何安全使用系统(如安全配置指南、应急响应流程),因此编写用户安全手册是关键。B(威胁建模)在设计阶段,C(代码审查)在开发阶段,D(安全培训)在早期阶段。

    以下哪项属于SDL“维护阶段”的核心任务?

    A.修复开发阶段遗留的漏洞

    B.监控系统运行中的安全事件

    C.制定安全需求规格

    D.开展渗透测试

    答案:B

    解析:维护阶段需持续监控系统运行状态(如日志分析、入侵检测),及时响应安全事件。A是测试阶段任务,C是需求阶段任务,D是测试阶段任务。

    OWASPSDL指南中强调的“安全左移”指的是:

    A.将安全测试从后期移至开发早期

    B.增加安全团队在开发流程中的话语权

    C.减少安全活动的总数量

    D.优先处理高风险安全需求

    答案:A

    解析:“安全左移”指将安全活动(如威胁建模、安全测试)提前到需求、设计等早期阶段,降低后期修复成本。B是组织架构调整,C与“左移”无关,D是风险优先级问题。

    以下哪项不属于SDL中的“安全培训”对象?

    A.产品经理

    B.运维工程师

    C.最终用户

    D.第三方供应商

    答案:C

    解析:SDL培训主要针对开发全流程参与者(如产品经理、开发、运维、供应商),最终用户培训属于发布后用户教育,不属于SDL流程内的培训活动。

    在SDL中,“软件成分分析(SCA)”的主要目的是:

    A.检测代码中的逻辑漏洞

    B.识别第三方依赖的已知漏洞

    C.评估系统的性能瓶颈

    D.验证安全需求的实现程度

    答案:B

    解析:SCA通过分析项目依赖库(如NPM、Maven),识别其中已知的CVE漏洞(如Log4j2漏洞),避免引入第三方风险。A是SAST的功能,C是性能测试,D是需求验证活动。

    二、多项选择题(共10题,每题2分,共20分)

    以下属于SDL核心阶段的有:()

    A.需求分析

    B.设计

    C.开发

    D.退役

    答案:ABCD

    解析:SDL通常包括需求、设计、开发、测试、发布、维护、退役等全周期阶段,覆盖系统从生到死的完整过程。

    威胁建模的主要步骤包括:()

    A.识别系统资产

    B.绘制数据流图(DFD)

    C.枚举潜在威胁

    D.评估风险等级

    答案:ABCD

    解析:威胁建模标准流程包括:资产识别→数据流图绘制→威胁枚举(如使用STRIDE)→风险评估(如可能性×影响)→制定缓解措施。

    以下哪些是SDL中“安全测试”的常用方法?()

    A.静态代码分析(SAST)

    B.动态应用安全测试(

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >