原创力文档- 1
- 0
- 约8.21千字
- 约 11页
- 2026-03-14 发布于上海
- 举报
安全开发生命周期(SDL)专家考试试卷
一、单项选择题(共10题,每题1分,共10分)
安全开发生命周期(SDL)的核心目标是:
A.降低开发成本
B.在发布前消除所有安全漏洞
C.系统化地将安全融入软件开发全流程
D.替代传统的安全测试流程
答案:C
解析:SDL的核心是通过系统化方法将安全措施嵌入开发的每个阶段(需求、设计、实现等),而非单纯消除漏洞或降低成本(A错误)。由于漏洞无法完全消除(B错误),SDL是补充而非替代传统测试(D错误)。
以下哪项是需求阶段的关键安全活动?
A.静态代码分析
B.安全需求规格说明书编写
C.渗透测试
D.安全补丁管理
答案:B
解析:需求阶段需明确安全需求(如数据加密等级、访问控制要求),形成安全需求规格说明书(B正确)。静态分析(实现阶段)、渗透测试(测试阶段)、补丁管理(维护阶段)均非需求阶段活动(A/C/D错误)。
微软SDL(MicrosoftSDL)的起源与哪类事件直接相关?
A.2001年“红色代码”蠕虫爆发
B.2004年SQLSlammer蠕虫攻击
C.2017年WannaCry勒索软件事件
D.2021年SolarWinds供应链攻击
答案:B
解析:微软SDL正式推出于2004年,直接背景是SQLSlammer蠕虫因缓冲区溢出漏洞导致大规模网络瘫痪(B正确)。红色代码(2001)早于SDL成型,WannaCry和SolarWinds事件发生在SDL成熟后(A/C/D错误)。
威胁建模工具STRIDE中的“S”代表:
A.Spoofing(伪装)
B.Tampering(篡改)
C.Repudiation(抵赖)
D.InformationDisclosure(信息泄露)
答案:A
解析:STRIDE是威胁分类模型,S=Spoofing(伪装),T=Tampering(篡改),R=Repudiation(抵赖),I=InformationDisclosure(信息泄露),D=DenialofService(拒绝服务),E=ElevationofPrivilege(权限提升)(A正确)。
以下哪项不属于SDL中“实现阶段”的安全实践?
A.使用安全编码规范(如CERTCSecureCoding)
B.执行静态代码分析(如SonarQube)
C.开展代码同行评审(PeerReview)
D.进行威胁建模(ThreatModeling)
答案:D
解析:威胁建模通常在设计阶段完成(需明确系统架构后分析威胁),实现阶段重点是编码合规性(A/B/C正确)。D属于设计阶段活动(错误)。
OWASPDependency-Check工具主要用于检测:
A.代码中的SQL注入漏洞
B.第三方库的已知漏洞
C.配置文件的弱密码
D.网络传输的加密强度
答案:B
解析:Dependency-Check通过CVE数据库扫描依赖库的已知漏洞(B正确)。SQL注入检测用静态分析工具(A错误),弱密码检测用配置扫描工具(C错误),加密强度检测用协议分析工具(D错误)。
SDL中“发布阶段”的关键活动是:
A.编写安全用户手册
B.执行模糊测试(Fuzzing)
C.制定安全编码规范
D.开展渗透测试
答案:A
解析:发布阶段需确保用户了解安全使用方法(如安全用户手册)、完成最终安全审计(A正确)。模糊测试(测试阶段)、编码规范(实现阶段)、渗透测试(测试阶段)均非发布阶段活动(B/C/D错误)。
以下哪项是SDL“维护阶段”的核心目标?
A.确保新功能符合安全需求
B.快速响应并修复已发布系统的安全漏洞
C.在设计变更时更新威胁模型
D.对开发人员进行安全培训
答案:B
解析:维护阶段重点是漏洞管理(如监控CVE、发布补丁、用户通知)(B正确)。新功能安全需求(需求阶段)、威胁模型更新(设计阶段)、安全培训(贯穿全周期)(A/C/D错误)。
NISTSP800-64《系统开发生命周期中的安全考虑》将SDL分为几个阶段?
A.3
B.5
C.7
D.9
答案:C
解析:NISTSP800-64将SDL分为7个阶段:启动、开发/获取、实施/评估、运行/维护、处置(C正确)。
以下哪种场景最符合SDL“左移(ShiftLeft)”原则?
A.在测试阶段集中修复所有漏洞
B.在需求阶段明确数据脱敏要求
C.发布后通过用户反馈优化安全功能
D.仅由安全团队负责代码安全审查
答案:B
解析:“左移”指将安全活动提前到早期阶段(如需求、设计),B在需求阶段明确安全要求符合该原则(正确)。A/C属于后期活动,D未体现全员参与(错误)。
二、多项选择题(共10题,每题2分,共20分)
安全开发生
您可能关注的文档
- 2026年土地估价师考试题库(附答案和详细解析)(0114).docx
- 2026年基金从业资格考试考试题库(附答案和详细解析)(0118).docx
- 2026年注册人力资源管理师考试题库(附答案和详细解析)(0124).docx
- 2026年注册矿业工程师考试题库(附答案和详细解析)(0129).docx
- 2026年注册空调工程师考试题库(附答案和详细解析)(0119).docx
- CTA策略在商品期货市场的绩效分析.docx
- Java中多线程并发编程的线程安全问题解决.docx
- Python中Scikit-learn库实现分类模型的调参.docx
- SaaS模式的客户churnrate(流失率)控制.docx
- 专利侵权判定标准及赔偿案例.docx
- 2026福建厦门市集美区华侨大学集美附属学校非在编顶岗教师招聘1人备考题库及参考答案详解一套.docx
- 2026福建厦门市集美区华侨大学集美附属学校非在编顶岗教师招聘1人备考题库及完整答案详解1套.docx
- 横县公务员面试试题.doc
- 2026福建厦门市集美区华侨大学集美附属学校非在编顶岗教师招聘1人备考题库及参考答案详解.docx
- 2026福建厦门市集美区华侨大学集美附属学校非在编顶岗教师招聘1人备考题库及参考答案详解1套.docx
- 2026福建厦门市集美区华侨大学集美附属学校非在编顶岗教师招聘1人备考题库参考答案详解.docx
- 2026福建厦门市集美区内林小学招聘数学产假顶岗教师招聘1人备考题库附答案详解.docx
- 语文统编版八年级上册专题10环境描写贯穿全文的写作模板及高频素材积累.docx
- 数学加乘混合题目及答案.doc
- 2026福建厦门市集美区内林小学招聘数学产假顶岗教师招聘1人备考题库含答案详解.docx
最近下载
- 全国大学生数学建模竞赛b题全国优秀论文.docx VIP
- 全国大学生数学建模竞赛b题全国优秀论文 .pdf VIP
- 2026浙美版美术八年级下册第二单元第3课《独特的视角》课件.pptx
- 2023年全国大学生数学建模竞赛题目B:.docx VIP
- 2020年美国大学生数学建模竞赛题目E--淹没在塑料中范文五篇(含源代码).pdf VIP
- 2021年全国大学生数学建模竞赛题目E:中药材的鉴别优秀论文范例两篇(含源代码).pdf VIP
- 2025-《期货基础知识》教材精讲班.pdf VIP
- 农贸市场改造升级策略及实施方案.docx VIP
- 高中英语单词表(全)(最新完整版)11802.xls VIP
- 比亚迪E5汽车驱动电机异响故障检修方案设计.docx VIP
文档评论(0)