原创力文档- 0
- 0
- 约7.64千字
- 约 11页
- 2026-02-12 发布于江苏
- 举报
安全开发生命周期(SDL)专家考试试卷
一、单项选择题(共10题,每题1分,共10分)
安全开发生命周期(SDL)的核心目标是:
A.降低开发成本
B.在软件发布后修复安全漏洞
C.系统性地将安全融入软件开发全流程
D.替代传统的软件开发流程
答案:C
解析:SDL的核心是通过在需求、设计、编码、测试、发布等全生命周期阶段嵌入安全活动(如威胁建模、安全测试),而非仅关注后期修复或降低成本(排除A、B)。SDL是对传统流程的补充而非替代(排除D)。
微软SDL框架中,“威胁建模”通常在哪个阶段开展?
A.需求分析阶段
B.设计阶段
C.编码阶段
D.发布阶段
答案:B
解析:微软SDL要求在设计阶段(系统架构确定后)开展威胁建模,识别潜在威胁并设计缓解措施(排除A、C、D)。需求阶段侧重安全需求收集,编码阶段侧重安全实现,发布阶段侧重最终验证。
以下哪项是静态代码分析工具的典型功能?
A.模拟用户登录测试认证漏洞
B.检测代码中未处理的空指针引用
C.监控运行时内存泄漏
D.验证API接口的性能阈值
答案:B
解析:静态代码分析(SAST)通过扫描源代码检测潜在缺陷(如未处理的空指针、SQL注入风险),无需运行程序(排除A、C)。性能测试属于动态测试范畴(排除D)。
OWASPTop10主要用于指导:
A.操作系统安全配置
B.网络边界防护策略
C.应用程序常见安全风险的优先级管理
D.数据库容灾方案设计
答案:C
解析:OWASPTop10是应用安全领域最权威的风险清单,列举了Web应用最常见的10类漏洞(如注入、身份验证失效),用于指导开发团队优先处理高风险问题(排除A、B、D)。
SDL中“安全验收标准”的主要作用是:
A.定义开发人员的绩效考核指标
B.明确软件发布前必须满足的安全要求
C.规定用户使用软件的操作规范
D.描述系统架构的技术选型原则
答案:B
解析:安全验收标准是软件发布前需满足的安全基线(如漏洞修复率≥95%、通过渗透测试),确保交付物符合安全要求(排除A、C、D)。
以下哪项不属于SDL“编码阶段”的安全活动?
A.使用安全编码规范(如CERTC/C++规则)
B.开展代码评审(CodeReview)
C.实施动态应用安全测试(DAST)
D.集成静态代码分析工具(如SonarQube)
答案:C
解析:DAST是动态测试,通常在测试阶段(代码运行时)执行;编码阶段侧重预防(如安全规范、代码评审、静态扫描)(排除A、B、D)。
威胁建模中的“STRIDE”方法,“I”代表的是:
A.信息泄露(InformationDisclosure)
B.篡改(Tampering)
C.否认(Repudiation)
D.身份仿冒(Spoofing)
答案:A
解析:STRIDE是威胁分类模型,各字母对应:S(仿冒)、T(篡改)、R(否认)、I(信息泄露)、D(拒绝服务)、E(权限提升)(排除B、C、D)。
SDL强调“安全左移”的本质是:
A.将安全测试从后期移至编码阶段
B.在软件开发早期识别并解决安全问题
C.减少安全团队的参与,由开发人员主导
D.降低安全合规成本
答案:B
解析:“安全左移”指将安全活动(如需求分析、威胁建模)提前到开发早期,避免后期修复的高成本(排除A、C、D)。
以下哪项是SDL“发布阶段”的关键活动?
A.制定安全需求规格说明书
B.生成软件安全公告(SecurityBulletin)
C.开展渗透测试
D.设计访问控制策略
答案:B
解析:发布阶段需完成最终验证(如漏洞修复确认)、生成安全文档(如补丁公告)并规划后续维护(排除A、C、D)。渗透测试通常在测试阶段完成。
以下哪种场景最符合SDL“持续安全”理念?
A.仅在新版本发布前进行一次安全测试
B.对生产环境的漏洞每季度集中修复一次
C.在CI/CD流水线中集成自动化安全检测
D.由第三方团队负责所有安全活动
答案:C
解析:持续安全要求将安全检测(如SAST、DAST、SCA)嵌入持续集成/持续部署(CI/CD)流程,实现开发过程中的实时反馈(排除A、B、D)。
二、多项选择题(共10题,每题2分,共20分)
以下属于SDL核心原则的有:
A.安全责任仅由安全团队承担
B.安全需求与功能需求同等重要
C.安全活动需覆盖开发全生命周期
D.后期漏洞修复成本低于早期
答案:BC
解析:SDL强调“全员安全责任”(排除A),且后期修复成本远高于早期(如需求阶段修复成本是发布后1/100)(排除D)。安全需求与功能需求需同步规划(B正确),安全活动需覆盖全周期(C正确)。
威胁建模的主要步骤包括:
A.定义系统边界与资产
B.
您可能关注的文档
- 2026年AI产品经理考试题库(附答案和详细解析)(0113).docx
- 2026年乡村振兴规划师考试题库(附答案和详细解析)(0127).docx
- 2026年健康照护师考试题库(附答案和详细解析)(0126).docx
- 2026年元宇宙架构师认证考试题库(附答案和详细解析)(0119).docx
- 2026年元宇宙架构师认证考试题库(附答案和详细解析)(0130).docx
- 2026年婚姻家庭咨询师考试题库(附答案和详细解析)(0131).docx
- 2026年强化学习工程师考试题库(附答案和详细解析)(0114).docx
- 2026年影视编导职业资格考试题库(附答案和详细解析)(0131).docx
- 2026年数字化转型师考试题库(附答案和详细解析)(0122).docx
- 2026年注册会计师(CPA)考试题库(附答案和详细解析)(0129).docx
最近下载
- 玻璃纤维应用及CCL知识.ppt VIP
- 河北省邯郸市魏县NT20联考2025-2026学年高一上学期1月月考数学试题含答案.pdf
- 辽宁省本溪市2024-2025学年七年级下学期7月期末数学试题【含答案】.pdf
- 《事故汽车常用零部件修复与更换判别规范》.pdf VIP
- TCQFX001-2024四川省机动车维修工时定额标准.pptx VIP
- 2025年河南省中招模拟考试数学试卷.docx VIP
- 宇树科技简介(新版).pdf VIP
- 2026年云南省普通高中学业水平选择性考试调研测试物理试题(附答案解析).docx VIP
- 桔梗多糖对H2O2诱导PC12细胞氧化损伤的保护作用及机制解析.docx VIP
- 推荐CECS59-94水泵隔振技术规程.pdf VIP
文档评论(0)