更多"[单选题]下列关于软件安全开发中的BSI(BuildSecurityI"的相关试题:
[单选题]关于软件安全开发生命周期(SDL),下面说法错误的是:
A.在软件开发的各个周期都要考虑安全因素
B.软件安全开发生命周期要综合采用技术、管理和工程等手段
C.测试阶段是发现并改正软件安全漏洞的最佳环节,过早或过晚检测修改漏洞都将增大软件开发成本
D.在设计阶段就尽可能发现并改正安全隐患,将极大减少整个软件开发成本
[单选题]以下关于开展软件安全开发必要性描错误的是?()
A.软件应用越来越广泛
B.软件应用场景越来越不安全
C.软件安全问题普遍存在
D.以上都不是
[单选题]为增强Web应用程序的安全性,某软件开发经理决定加强Web软件安全开发培训,下面哪项内容不在考虑范围内
A.关于网站身份鉴别技术方面安全知识的培训
B.针对OpenSSL心脏出血漏洞方面安全知识的培训
C.针对SQL注入漏洞的安全编程培训
D.关于ARM系统漏洞挖掘方面安全知识的培训
[单选题]瀑布模型表达了一种系统的、顺序的软件开发方法。以下关于瀑布模型的叙述中,正确的是( )
A.瀑布模型能够非常快速地开发大规模软件项目
B.只有很大的开发团队才使用瀑布模型
C.瀑布模型已不再适合于现今的软件开发环境
D.瀑布模型适用于软件需求确定,开发过程能够釆用线性方式完成的项目
[单选题]由于频繁出现软件运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是()。
A.要求开发人员采用瀑布模型进行开发
B.要求所有的开发人员参加软件安全意识培训
C.要求增加软件安全测试环节,尽早发现软件安全问题
D.要求规范软件编码,并制定公司的安全编码准则
[单选题]以下关于软件安全测试说法正确的是()
A.软件安全测试就是黑盒测试
B.FUZZ测试是经常采用的安全测试方法之一
C.软件安全测试关注的是软件的功能
D.软件安全测试可以发现软件中产生的所有安全问题
[单选题]下面关于信息系统安全保障模型的说法不正确的是:()
A.国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T20274.1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心
B.模型中的信息系统生命周期模型是抽象的概念性说明模型,在信息系统安全保障具体操作时,可根据具体环境和要求进行改动和细化
C.信息系统安全保障强调的是动态持续性的长效安全,而不仅是某时间点下的安全
D.信息系统安全保障主要是确保信息系统的保密性、完整性和可用性,单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入
[单选题]关于软件安全问题,下面描述错误的是()
A.软件的安全问题可能造成软件运行不稳定,得不到正确结果甚至崩溃
B.软件的安全问题应该依赖于软件开发的设计、编程、测试以及部署等各个阶段措施解决
C.软件的安全问题可能被攻击者利用后影响人身健康安全
D.软件的安全问题是由程序开发者遗留的,和软件部署运行环境无关
[单选题]由于频繁出现计算机运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是
A.要求所有的开发人员参加软件安全开发知识培训
B.要求增加软件源代码审核环节,加强对软件代码的安全性审查
C.要求统一采用Windows8系统进行开发,不能采用之前的Windows版本
D.要求邀请专业队伍进行第三方安全性测试,尽量从多角度发现软件安全问题
[单选题]关于软件测试与软件开发的认识,不正确的是( )
A.软件生命周期各个阶段都可能产生测试
B.软件测试是独立于软件开发的一个工作
C.软件开发的需求分析和设计阶段就应开始测试工作
D.测试越早进行,越有助于提高被测软件的质量
[单选题]软件安全设计和开发中应考虑用户隐私保护,以下关于用户隐私保护的说法错误的是()
A.告诉用户需要收集什么数据及搜集到的数据会如何被使用
B.当用户的数据由于某种原因要被使用时,给客户选择是否允许
C.用户提交的用户名和密码属于隐私数据,其他都不是
D.确保数据的使用符合国家、地方、行业的相关法律法规
[单选题]某单位根据业务需要准备立项开发一个业务软件,对于软件开发安全投入经费研讨时开发部门和信息中心就发生了分歧,开发部门认为开发阶段无需投入,软件开发完成后发现问题后再针对性的解决,比前期安全投入要成本更低;信息中心则认为应在软件安全开发阶段投入,后期解决代价太大,双方争执不下,作为信息安全专家,请选择对软件开发安全投入的准确说法()
A.双方的说法都错误,软件安全问题在任何时候投入解决都可以,只要是一样的问题,解决的代价相同
B.信息中心的考虑是正确的,在软件开发需求分析阶段开始考虑安全问题,总体经费投入比软件运行后的费用要低
C.双方的说法都正确,需要根据具体情况分析是开发阶段投入解决问题还是在上线后再解决问题费用更低
D.软件开发部门的说法是正确的,因为软件出现安全问题后更清楚问题所在,安排人员进行代码修订更简单,因此费用更低
[单选题]某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周期的讨论,在下面的发言观点中,正确的是()
A.软件安全开发生命周期较长,而其中最重要的是要在软件的编码安全措施,就可以解决90%以上的安全问题。
B.应当尽早在软件开发的需求和设计阶段增加一定的安全措施,这样可以比在软件发布以后进行漏洞修复所花的代价少得多。
C.和传统的软件开发阶段相比,微软提出的安全开发生命周期(SDL)最大特点是增加了一个专门的安全编码阶段
D.软件的安全测试也很重要,考试到程序员的专业性,如果该开发人员已经对软件进行了安全性测试,就没有必要再组织第三方进行安全性测试。
[单选题]某单位需要开发一个网站,为了确保开发出安全的软件。软件开发商进行了OA系统的威胁建模,根据威胁建模,SQL注入是网站系统面临的攻击威胁之一,根据威胁建模的消减威胁的做法。以下哪个属于修改设计消除威胁的做法()
A.在编码阶段程序员进行培训,避免程序员写出存在漏洞的代码
B.对代码进行严格检查,避免存在SQL注入漏洞的脚本被发布
C.使用静态发布,所有面向用户发布的数据都使用静态页面
D.在网站中部署防SQL注入脚本,对所有用户提交数据进行过滤
[判断题].《国务院安委会关于进一步加强安全培训工作的决定》要求,加强远程安全培训,开发国家安全培训网和有关行业网络学习平台,实现优质资源共享。( )
A.正确
B.错误
[单选题]下面哪项属于软件开发安全方面的问题()
A.软件部署时所需选用服务性能不高,导致软件执行效率低。
B.应用软件来考虑多线程技术,在对用户服务时按序排队提供服务
C.应用软件存在SQL注入漏洞,若被黑客利用能窃取数据库所用数据
D.软件受许可证(license)限制,不能在多台电脑上安装。
[单选题]在软件保障成熟度模型(SoftwareAssurnceMaturityMode,SAMM)
中,规定了软件开发过程中的核心业务功能,下列哪个选项不属于核心业务功能()
A.管理,主要是管理软件开发的过程和活动
B.构造,主要是在开发项目中确定目标并开发软件的过程与活动
C.验证,主要是测试和验证软件的过程和活动
D.购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动
[多选题]
关于组播ASM模型和SSM模型, 下面说法哪些是正确的?
A.SSM和ASM使用相同的组播地址范围
B.SSM模型中接收者已经通过其他手段预先知道了组播源的具体位置
C.ASM模型中接收者无法预先知道组播源的位置
D.SSM直接在接受者和组播源之间建立组播转发树
[单选题]以下哪一项不属于信息安全工程监理模型的组成部分:
A.监理咨询支撑要素
B.控制和管理手段
C.监理咨询阶段过程
D.监理组织安全实施
