1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2026年安全开发生命周期专家考试题库(附答案和详细解析)(0131).docxVIP

  • 0
  • 0
  • 约8.61千字
  • 约 12页
  • 2026-02-09 发布于江苏
  • 举报

2026年安全开发生命周期专家考试题库(附答案和详细解析)(0131).docx

    安全开发生命周期(SDL)专家考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    安全开发生命周期(SDL)的核心思想是:

    A.仅在项目后期进行安全测试

    B.将安全融入软件开发的每个阶段

    C.由安全团队独立负责所有安全工作

    D.依赖第三方工具完成安全防护

    答案:B

    解析:SDL的核心是“安全左移”(ShiftLeft),强调将安全活动(如威胁建模、安全编码、测试)嵌入需求、设计、开发、测试等全生命周期阶段,而非仅后期测试(排除A);SDL要求全员参与(开发、测试、产品经理等),而非安全团队独立负责(排除C);第三方工具是辅助手段,不能替代全流程安全实践(排除D)。

    微软SDL中,“威胁建模”通常首次应用于哪个阶段?

    A.需求分析

    B.系统设计

    C.编码开发

    D.部署运维

    答案:A

    解析:微软SDL强调威胁建模应在需求阶段(项目启动时)首次执行,用于识别系统资产、威胁场景和潜在脆弱性,为后续设计和开发提供安全输入(B为迭代优化阶段,C/D为后期补漏)。

    STRIDE模型中,“E”代表的威胁类型是:

    A.信息泄露(InformationDisclosure)

    B.拒绝服务(DenialofService)

    C.权限提升(ElevationofPrivilege)

    D.抵赖(Repudiation)

    答案:C

    解析:STRIDE是威胁分类模型,对应:S(Spoofing伪装)、T(Tampering篡改)、R(Repudiation抵赖)、I(InformationDisclosure信息泄露)、D(DenialofService拒绝服务)、E(ElevationofPrivilege权限提升),故C正确。

    以下哪项不属于静态代码分析工具的核心功能?

    A.检测缓冲区溢出漏洞

    B.识别未授权的API调用

    C.模拟用户输入验证逻辑

    D.检查不符合CWE规范的代码

    答案:C

    解析:静态代码分析(SAST)通过分析源代码或字节码检测漏洞(如缓冲区溢出、CWE违规),无需运行程序(A、D正确);识别未授权API调用属于代码逻辑检查(B正确)。模拟用户输入是动态测试(DAST)的功能(C错误)。

    SDL中“安全需求”的核心来源是:

    A.开发团队的经验总结

    B.行业标准(如ISO27001)和业务场景

    C.第三方安全工具的扫描报告

    D.最终用户的界面交互需求

    答案:B

    解析:安全需求需基于业务场景(如金融系统的交易安全)和合规要求(如GDPR、ISO27001),确保与实际风险匹配(B正确)。经验总结(A)、工具报告(C)、界面需求(D)均非核心来源。

    以下哪项是SDL“部署阶段”的关键活动?

    A.编写安全编码规范

    B.实施漏洞修复的回归测试

    C.配置防火墙和访问控制列表

    D.开展安全意识培训

    答案:C

    解析:部署阶段需确保运行环境安全,如网络配置(防火墙、ACL)、容器安全加固等(C正确)。A属于开发阶段,B属于测试阶段,D属于全员培训(贯穿全周期)。

    CWE(通用弱点枚举)的主要作用是:

    A.定义安全编码规范的具体实现

    B.提供已知软件弱点的分类和描述

    C.评估网络攻击的威胁等级

    D.生成渗透测试的漏洞利用脚本

    答案:B

    解析:CWE是软件弱点的标准化分类库(如CWE-79跨站脚本),用于统一漏洞描述和分析(B正确)。A是编码规范(如MISRAC)的作用,C是CVSS的作用,D是渗透测试工具的功能。

    SDL中“安全验收标准”的制定应在哪个阶段完成?

    A.需求分析

    B.系统设计

    C.测试执行

    D.上线发布

    答案:A

    解析:安全验收标准(如漏洞修复等级、合规性要求)需在需求阶段明确,作为后续开发和测试的依据(A正确)。B阶段细化设计,C阶段执行测试,D阶段验证标准。

    以下哪项是“运行时防护”的典型技术?

    A.静态代码扫描

    B.输入验证中间件

    C.威胁建模工具

    D.安全需求评审

    答案:B

    解析:运行时防护通过实时监测和阻断攻击(如中间件拦截恶意输入)保护系统(B正确)。A、C、D均为开发或设计阶段的预防措施。

    SDL强调“持续改进”的核心机制是:

    A.定期更新安全工具版本

    B.基于漏洞数据的复盘和流程优化

    C.增加安全团队人员编制

    D.强制要求所有开发人员通过安全认证

    答案:B

    解析:持续改进需通过分析历史漏洞数据(如高发类型、发现阶段),优化SDL流程(如加强某阶段的活动)(B正确)。工具更新(A)、人员增加(C)、认证(D)是支持手段,非核心机制。

    二、多项选择题(共10题,每题2分,共20分)

    以下属于SDL核心原则的有:

    A.安全责任仅由安全团队承担

    B.安全活动嵌入开发全生命周期

    C.基于风险的分级处理

    D.仅依赖自动

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >