原创力文档- 0
- 0
- 约7.06千字
- 约 11页
- 2026-03-07 发布于江苏
- 举报
安全开发生命周期(SDL)专家考试试卷
一、单项选择题(共10题,每题1分,共10分)
安全开发生命周期(SDL)的核心思想是:
A.仅在开发后期进行安全测试
B.将安全融入软件开发的每个阶段
C.依赖第三方安全工具替代人工审查
D.仅关注代码层面的漏洞修复
答案:B
解析:SDL的核心是“安全左移”,强调安全活动应贯穿需求、设计、开发、测试、部署等全生命周期,而非仅后期测试(A错误)。安全工具是辅助手段,不能替代人工审查(C错误)。SDL覆盖从需求到维护的全流程,不仅是代码漏洞(D错误)。
以下哪项是SDL需求阶段的关键活动?
A.静态代码分析
B.安全需求规格说明书编写
C.渗透测试
D.生产环境配置核查
答案:B
解析:需求阶段需明确安全需求(如合规性、隐私保护),并形成安全需求规格说明书(B正确)。静态分析(开发阶段)、渗透测试(测试阶段)、配置核查(部署阶段)均非需求阶段活动(A、C、D错误)。
STRIDE模型主要用于:
A.漏洞修复优先级排序
B.威胁建模中的威胁类型分类
C.安全编码规范制定
D.安全培训效果评估
答案:B
解析:STRIDE(欺骗、篡改、否认、信息泄露、拒绝服务、权限提升)是威胁建模中用于分类威胁类型的经典模型(B正确)。漏洞优先级排序常用CVSS(A错误),安全编码规范参考OWASP指南(C错误),培训评估需通过测试或反馈(D错误)。
以下哪项属于SDL开发阶段的安全实践?
A.编写安全需求文档
B.使用静态代码分析工具扫描
C.进行生产环境渗透测试
D.制定应急响应计划
答案:B
解析:开发阶段需通过静态分析(如SonarQube)检测代码漏洞(B正确)。安全需求文档(需求阶段)、生产渗透测试(部署后)、应急计划(维护阶段)均非开发阶段活动(A、C、D错误)。
安全设计评审的核心目标是:
A.确保代码符合编码规范
B.识别架构层面的安全风险
C.验证测试用例覆盖所有漏洞
D.优化系统运行性能
答案:B
解析:设计评审关注架构(如数据流向、访问控制)的安全性,提前发现高层级风险(B正确)。代码规范检查(开发阶段)、测试用例验证(测试阶段)、性能优化(非安全目标)均非设计评审核心(A、C、D错误)。
SDL中“安全配置管理”的主要对象是:
A.开发人员的权限
B.生产环境的系统配置
C.测试用例的存储路径
D.需求文档的版本号
答案:B
解析:安全配置管理重点是生产环境的基线配置(如防火墙规则、账户权限),防止因配置错误引入风险(B正确)。开发权限(访问控制)、测试用例(测试管理)、文档版本(版本控制)均非核心对象(A、C、D错误)。
以下哪项是SDL测试阶段的“动态代码分析”工具?
A.SonarQube
B.OWASPZAP
C.Checkmarx
D.Fortify
答案:B
解析:动态分析(DAST)通过运行系统检测漏洞(如ZAP扫描Web应用)(B正确)。SonarQube、Checkmarx、Fortify均为静态分析(SAST)工具(A、C、D错误)。
SDL中“漏洞管理”的关键流程不包括:
A.漏洞发现与上报
B.漏洞修复与验证
C.漏洞数据统计与分析
D.漏洞利用代码编写
答案:D
解析:漏洞管理包括发现、评估、修复、验证、统计(A、B、C正确)。编写利用代码可能加剧风险,不属于规范流程(D错误)。
以下哪项不符合SDL“最小权限原则”?
A.数据库管理员仅拥有读写权限
B.普通用户无法访问系统日志
C.测试账户具备系统管理员权限
D.API仅暴露必要功能接口
答案:C
解析:最小权限要求仅授予完成任务所需的最低权限(C中测试账户的管理员权限超出需求,违反原则)。其他选项均符合(A、B、D正确)。
SDL持续改进的核心依据是:
A.开发人员的主观反馈
B.历史漏洞数据统计分析
C.竞争对手的安全策略
D.最新安全工具的发布
答案:B
解析:持续改进需基于漏洞数据(如高发漏洞类型、修复周期)优化流程(B正确)。主观反馈(缺乏客观性)、竞争对手策略(未必适用)、工具发布(需结合需求)均非核心依据(A、C、D错误)。
二、多项选择题(共10题,每题2分,共20分)
以下属于SDL核心原则的有:
A.安全责任仅由安全团队承担
B.安全活动贯穿全生命周期
C.预防为主,而非事后补救
D.依赖单一安全工具解决所有问题
答案:BC
解析:SDL强调全员参与(A错误)、全阶段覆盖(B正确)、预防优先(C正确)、工具为辅助(D错误)。
威胁建模的主要输出包括:
A.资产清单
B.威胁场景列表
C.风险评估结果
D.代码提交记录
答案:ABC
解析:威胁建模输出资产清单(识别保护对象)、威胁场景(如
您可能关注的文档
- 2026年公益项目管理师考试题库(附答案和详细解析)(0119).docx
- 2026年土地估价师考试题库(附答案和详细解析)(0119).docx
- 2026年外交翻译考试(DFT)考试题库(附答案和详细解析)(0107).docx
- 2026年护士执业资格考试考试题库(附答案和详细解析)(0114).docx
- 2026年整理收纳师考试题库(附答案和详细解析)(0125).docx
- 2026年注册农业工程师考试题库(附答案和详细解析)(0120).docx
- 2026年注册投资项目分析师(CIPA)考试题库(附答案和详细解析)(0110).docx
- 2026年精准医疗工程师考试题库(附答案和详细解析)(0121).docx
- AI客服系统实施方案.docx
- cryptocurrency市场的流动性风险度量与应对.docx
- Java异常处理的try-catch机制与抛出.docx
- PPT逻辑树结构设计.docx
- VR教育内容制作方案.docx
最近下载
- 最新旅游区游客接待中心建设项目监理大纲.docx VIP
- 五年级下册第三单元习作满分作文:学写简单的研究报告(精选五篇).pdf VIP
- 护理核心制度考试题.doc VIP
- 防雹网项目建设实施方案.docx VIP
- 顾客满意度研究毕业论文.doc VIP
- 2025 高中戏剧舞台提示解读课件.pptx VIP
- 车间5S管理基础培训.pptx
- 2026年南昌健康职业技术学院单招职业适应性考试题库附答案解析.docx VIP
- GRI全球报告倡议组织标准GRI 201- Economic Performance 2016 - Simplified Chinese.pdf VIP
- 科学技术概论1——导论.ppt VIP
文档评论(0)