1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2026年安全开发生命周期专家考试题库(附答案和详细解析)(0125).docxVIP

  • 0
  • 0
  • 约8.17千字
  • 约 11页
  • 2026-02-10 发布于上海
  • 举报

2026年安全开发生命周期专家考试题库(附答案和详细解析)(0125).docx

    安全开发生命周期(SDL)专家考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    安全开发生命周期(SDL)的核心目标是:

    A.降低开发成本

    B.在软件发布后修复所有安全漏洞

    C.从开发早期开始系统性地管理安全风险

    D.满足用户的功能需求优先

    答案:C

    解析:SDL的核心是通过在开发全周期(需求、设计、开发、测试、发布、维护)中嵌入安全活动,提前识别和控制风险,而非事后补救(B错误)。降低成本(A)和功能优先(D)均非安全核心目标。

    以下哪个阶段是威胁建模(ThreatModeling)的主要实施阶段?

    A.需求分析阶段

    B.设计阶段

    C.开发阶段

    D.发布阶段

    答案:B

    解析:威胁建模通常在设计阶段(系统架构定型时)进行,通过STRIDE等模型识别潜在威胁(如欺骗、篡改),为后续安全控制提供依据(A为需求收集,C为编码实现,D为发布前验证,均非主要阶段)。

    OWASPASVS(应用安全验证标准)主要用于指导:

    A.威胁建模流程

    B.安全编码规范

    C.安全测试验证

    D.漏洞修复优先级

    答案:C

    解析:ASVS(ApplicationSecurityVerificationStandard)是应用安全测试的技术标准,定义了不同等级的验证要求(如功能、架构、数据保护),用于指导测试阶段的合规性验证(A对应STRIDE,B对应OWASP编码指南,D对应CVSS评分)。

    静态代码分析(SAST)工具的主要特点是:

    A.运行在软件运行时环境

    B.检测内存泄漏等动态问题

    C.无需部署被测系统即可分析

    D.适用于黑盒测试场景

    答案:C

    解析:SAST是白盒测试工具,通过分析源代码/二进制代码检测潜在漏洞(如SQL注入),无需运行系统(A错误);动态问题(B)由DAST或IAST检测;黑盒测试(D)对应DAST(无需源码)。

    以下哪项不属于SDL中“发布阶段”的安全活动?

    A.最终安全审计

    B.漏洞修复回溯验证

    C.依赖库版本更新

    D.应急响应计划部署

    答案:C

    解析:依赖库版本更新属于开发阶段的依赖管理(通过SCA工具检测漏洞),发布阶段的核心是确认所有漏洞已修复(A、B)并准备应急方案(D)。

    STRIDE模型中“S”代表的威胁类型是:

    A.Spoofing(伪装)

    B.Tampering(篡改)

    C.Repudiation(抵赖)

    D.InformationDisclosure(信息泄露)

    答案:A

    解析:STRIDE是威胁分类模型,S=Spoofing(伪装,如伪造身份认证),T=Tampering(篡改数据),R=Repudiation(抵赖),I=InformationDisclosure(信息泄露),D=DenialofService(拒绝服务),E=ElevationofPrivilege(权限提升)。

    以下哪项是SDL中“需求阶段”的关键输出?

    A.安全编码规范文档

    B.系统威胁模型图

    C.安全需求规格说明书

    D.漏洞修复报告

    答案:C

    解析:需求阶段需明确安全需求(如数据加密等级、认证方式),输出安全需求规格说明书(C正确);威胁模型(B)是设计阶段输出,编码规范(A)是开发阶段输入,漏洞报告(D)是测试阶段输出。

    对于采用DevOps的团队,SDL的关键适配策略是:

    A.减少安全活动以加快交付速度

    B.在流水线中集成自动化安全工具

    C.仅在发布前进行一次全面安全测试

    D.由专门安全团队负责所有安全任务

    答案:B

    解析:DevOps强调持续交付,SDL需通过自动化工具(如流水线中集成SAST/DAST/SCA)实现“左移”(早期检测),避免事后补救(C错误);减少安全活动(A)或集中式安全团队(D)会阻碍效率与责任共担。

    以下哪项属于SDL中“维护阶段”的核心任务?

    A.编写安全设计文档

    B.监控运行时漏洞(如零日攻击)

    C.进行初始渗透测试

    D.制定安全需求清单

    答案:B

    解析:维护阶段需持续监控系统运行(如日志分析、入侵检测),及时响应新出现的漏洞(如零日攻击);设计文档(A)是设计阶段任务,初始渗透测试(C)是测试阶段任务,需求清单(D)是需求阶段任务。

    NISTSDL指南中强调的“责任共担”原则指:

    A.开发团队承担全部安全责任

    B.安全团队负责所有漏洞修复

    C.开发、测试、运维团队共同参与安全活动

    D.用户需自行处理使用中的安全问题

    答案:C

    解析:NISTSDL要求安全责任贯穿全角色(开发编写安全代码、测试验证安全需求、运维监控运行时风险),而非单一团队(A、B错误);用户责任(D)属于外部因素,非SDL核心。

    二、多项选择题(共10题,每题2分,共20分)

    以下属于SDL“设计阶段”安全活动的有:

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >