原创力文档- 0
- 0
- 约7.83千字
- 约 10页
- 2026-02-10 发布于上海
- 举报
安全开发生命周期(SDL)专家考试试卷
一、单项选择题(共10题,每题1分,共10分)
安全开发生命周期(SDL)的核心思想是:
A.在开发后期集中修复安全漏洞
B.将安全活动融入软件开发全流程
C.仅由安全团队负责系统安全
D.依赖第三方工具替代人工审核
答案:B
解析:SDL的核心是“安全左移”,强调将安全需求分析、威胁建模、安全测试等活动嵌入需求、设计、开发等早期阶段,而非后期修补(A错误);SDL要求全员参与(开发、测试、产品经理等),而非仅安全团队(C错误);工具是辅助手段,无法替代人工审核(D错误)。
以下哪项是需求阶段的关键安全活动?
A.代码静态分析(SAST)
B.安全需求elicitation(提取)
C.渗透测试(PenetrationTesting)
D.第三方依赖漏洞扫描
答案:B
解析:需求阶段的核心是明确安全需求(如身份认证强度、数据加密要求),即安全需求提取(B正确);SAST属于开发阶段(A错误),渗透测试属于测试阶段(C错误),第三方依赖扫描属于开发或测试阶段(D错误)。
威胁建模工具STRIDE中,“R”代表的威胁类型是:
A.拒绝服务(DenialofService)
B.抵赖(Repudiation)
C.信息泄露(InformationDisclosure)
D.权限提升(ElevationofPrivilege)
答案:B
解析:STRIDE是威胁分类模型,其中R(Repudiation)指抵赖(如用户否认执行过某操作)(B正确);拒绝服务是D(DenialofService),信息泄露是I(InformationDisclosure),权限提升是E(ElevationofPrivilege)(A、C、D错误)。
以下哪种安全测试方法属于动态分析(DAST)?
A.源代码漏洞扫描(如SonarQube)
B.运行时接口漏洞探测(如OWASPZAP)
C.内存泄漏检测(如Valgrind)
D.依赖库漏洞扫描(如Snyk)
答案:B
解析:DAST通过模拟攻击探测运行中的系统漏洞(如ZAP扫描网页接口)(B正确);SAST是静态分析源代码(A错误),内存泄漏检测属于白盒测试(C错误),依赖扫描属于组件分析(D错误)。
SDL中“安全配置管理”的主要目标是:
A.确保生产环境配置符合最小权限原则
B.优化系统性能参数
C.管理开发人员的账号权限
D.记录代码提交日志
答案:A
解析:安全配置管理关注生产环境的安全设置(如禁用默认账户、关闭不必要服务),遵循最小权限原则(A正确);性能优化属于运维目标(B错误),开发人员权限管理属于身份与访问控制(C错误),代码日志属于版本控制(D错误)。
以下哪项不属于SDL“发布阶段”的安全活动?
A.生成软件物料清单(SBOM)
B.最终安全检查(Pre-releaseAudit)
C.漏洞应急响应计划备案
D.代码提交至版本控制系统(如Git)
答案:D
解析:发布阶段需完成SBOM生成、最终安全审计、应急计划备案(A、B、C正确);代码提交至Git属于开发阶段的版本控制(D错误)。
安全编码规范(如OWASP编码指南)的核心作用是:
A.替代代码审查
B.减少常见漏洞(如SQL注入、XSS)
C.提升代码运行效率
D.规范代码注释格式
答案:B
解析:安全编码规范通过定义输入验证、输出编码等规则,直接降低注入、跨站脚本等常见漏洞风险(B正确);无法替代代码审查(A错误),与效率无关(C错误),注释格式是编码规范的次要内容(D错误)。
以下哪项是SDL“维护阶段”的关键活动?
A.威胁建模更新
B.需求变更评审
C.漏洞修复与补丁管理
D.安全架构设计
答案:C
解析:维护阶段需持续监控漏洞(如CVE通报)并发布补丁(C正确);威胁建模更新可能在设计或测试阶段(A错误),需求变更评审在需求阶段(B错误),架构设计在设计阶段(D错误)。
SDL中“安全培训”的主要对象是:
A.仅安全团队
B.开发、测试、产品经理等全员
C.高层管理人员
D.第三方供应商
答案:B
解析:SDL强调全员安全责任,因此培训需覆盖开发(编写安全代码)、测试(设计安全用例)、产品(定义安全需求)等所有角色(B正确);仅安全团队或高层无法覆盖全流程(A、C错误),供应商培训属于第三方管理(D错误)。
以下哪种工具用于软件组件漏洞管理?
A.威胁建模工具(如ThreatModeler)
B.依赖扫描工具(如Dependency-Check)
C.动态测试工具(如BurpSuite)
D.静态测试工具(如Checkmarx)
答案:B
解析:依赖扫描工具(如OWASP
您可能关注的文档
- 2026年中医养生保健师考试题库(附答案和详细解析)(0114).docx
- 2026年信用管理师考试题库(附答案和详细解析)(0113).docx
- 2026年咖啡师考试题库(附答案和详细解析)(0120).docx
- 2026年国际财资管理师(CTP)考试题库(附答案和详细解析)(0113).docx
- 2026年数据建模工程师考试题库(附答案和详细解析)(0112).docx
- 2026年智能安防工程师考试题库(附答案和详细解析)(0115).docx
- 2026年注册国际投资分析师(CIIA)考试题库(附答案和详细解析)(0109).docx
- 2026年注册环保工程师考试题库(附答案和详细解析)(0110).docx
- 2026年注册环保工程师考试题库(附答案和详细解析)(0117).docx
- 2026年注册用户体验设计师(UXD)考试题库(附答案和详细解析)(0122).docx
- 2026-2030中国硬胶囊填充机行业市场发展趋势与前景展望战略研究报告.docx
- 2025至2030中国高铁零部件行业市场占有率及投资前景评估规划报告.docx
- 2025至2030中国麻醉药品行业市场深度调研及发展潜力与投资报告.docx
- 2025至2030中国飞机高度计行业细分市场及应用领域与趋势展望研究报告.docx
- 2025至2030中国环境监测仪器行业市场发展分析及投资战略咨询报告.docx
- 2026-2030中国离岸风能行业市场发展趋势与前景展望战略分析研究报告.docx
- 2025至2030中国交流电机制造行业行情走势预测及发展机遇分析报告.docx
- 2025至2030中国影音线材行业市场占有率及投资前景评估规划报告.docx
- 2026-2030中国益生菌片行业销售规模及营销发展趋势预判研究报告.docx
- 2025至2030咖啡豆产业政府现状供需分析及市场深度研究发展前景及规划可行性分析报告.docx
最近下载
- 2026-2030辣条行业市场发展现状及发展趋势与投资前景预测研究报告.docx
- T_GDSGX 003—2024(冬季种鸽繁殖期主要营养素需要量).pdf
- 建设工程春节停工申请.pdf VIP
- 空间的表征《小伙子布朗》对生存整体的探问.PDF VIP
- 人教版七年级数学上册期末复习考点清单 专题06几何图形初步(15个考点清单+19种题型解读).pdf VIP
- 增材制造联合研究中心3D打印实验室项目环评资料环境影响.docx VIP
- 《土力学与地基基础》课件 任务9 土的强度与测定方法.pptx VIP
- 建筑结构天沟尺寸计算案例分析.docx VIP
- 非谓语课件.ppt VIP
- 2025年AWS认证AR_VR服务与责任专题试卷及解析.pdf VIP
文档评论(0)