2026年安全开发生命周期专家考试题库(附答案和详细解析)(0608).docxVIP

  • 1
  • 0
  • 约6.7千字
  • 约 8页
  • 2026-07-19 发布于上海
  • 举报

2026年安全开发生命周期专家考试题库(附答案和详细解析)(0608).docx

安全开发生命周期专家

一、单项选择题(共10题,每题1分,共10分)

在安全开发生命周期(SDL)中,将安全需求转化为具体可执行技术指标的阶段是()。A.需求分析阶段B.设计阶段C.实施(编码)阶段D.发布阶段答案:B解析:设计阶段的核心任务是将安全需求转化为具体的技术规范、架构设计以及详细的安全功能与非功能需求,为后续的实施和测试提供蓝图。

某软件在开发过程中被植入恶意代码,攻击者利用该代码在产品发布后窃取用户数据。这违反了SDL中的哪项原则?()A.最小权限原则B.深度防御原则C.安全开发生命周期原则D.安全默认原则答案:C解析:SDL要求在软件开发生命周期的全流程中(从需求到发布)集成安全活动,而不仅仅是发布后进行安全审计。植入恶意代码意味着整个开发流程失控,违反了SDL的根本原则。

下列哪项技术措施最能有效防止SQL注入攻击?()A.使用HTTPS加密传输B.输入验证与参数化查询C.部署Web应用防火墙(WAF)D.定期更新服务器补丁答案:B解析:参数化查询(预编译语句)将SQL命令与数据分离开来,数据库引擎会将数据视为纯数据而非可执行代码,从根本上杜绝了SQL注入的可能性。其他选项虽然能提供防护或缓解,但无法像参数化查询那样从源头阻断攻击向量。

在SDL的测试阶段,自动化静态应用程序安全测试(SAST)主要

文档评论(0)

1亿VIP精品文档

相关文档