更多"[单选题]软件安全设计和开发中应考虑用户稳私包,以下关于用户隐私保护的"的相关试题:
[单选题]软件安全设计和开发中应考虑用户稳私包,以下关于用户隐私保护的说法哪个是错 误的?
A.告诉用户需要收集什么数据及搜集到的数据会如何披使用
B.当用户的数据由于某种原因要被使用时,给用户选择是否允许
C.用户提交的用户名和密码属于稳私数据,其它都不是
D.确保数据的使用符合国家、地方、行业的相关法律法规
[单选题]软件安全设计和开发中应考虑用户隐私保护,以下关于用户隐私保护的说法错误的是?
A.告诉用户需要收集什么数据及搜集到的数据会如何被使用
B.当用户的数据由于某种原因要被使用时,给客户选择是否允许
C.用户提交的用户名和密码属于隐私数据,其他都不是
D.确保数据的使用符合国家、地方、行业的相关法律法规
[单选题]最小特权是软件安全设计的基本原则,某应用程序在设计时,设计人员给出了以下 四种策略,其中有一个违反了最小特权的原则,作为评审专家,请指出是哪一个?
A.软件在Linux 下按照时,设定运行时使用nobody 用户运行实例
B.软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据库备
份操作员账号连接数据库
C.软件的日志模块由于要向数据库中的日志表中写入日志信息,使用了一个日志用户账 号连接数据库,该账号仅对日志表拥有权限
D.为了保证软件在 Windows 下能稳定的运行,设定运行权限为 system,确保系统运行正常,不会因为权限不足产生运行错误
[单选题]最小特权是软件安全设计的基本原则,某应用程序在设计时,设计人员给出了以下四种策略,其中有一个违反了最小特权的原则,作为评审专家,请指出是哪一个?
A.软件在 Linux 下按照时,设定运行时使用 nobody 用户运行实例
B.软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据库备份操作员账号连接数据库
C.软件的日志模块由于要向数据库中的日志表中写入日志信息,使用了一个日志用户账号连接数据库,该账号仅对日志表拥有权限
D.为了保证软件在 Windows 下能稳定的运行,设定运行权限为 system,确保系统运行正常, 不会因为权限不足产生运行错误
[单选题]王某是某公司的软件设计师,完成某项软件开发后按公司规定进行软件归档,以下关于该软件的著作权的叙述中,正确的是( )。
(92
A.著作权应由公司和王某共同享有
B.著作权应由公司享有
C.著作权应由王某享有
D.除署名权以外,著作权的其他权利由王某享有
[单选题]为增强 Web 应用程序的安全性,某软件开发经理决定加强 Web 软件安全开发培训,下面哪项内容不在考虑范围内()
A.关于网站身份签别技术方面安全知识的培训
B.针对 OpenSSL 心脏出血漏洞方面安全知识的培训
C.针对 SQL 注入漏洞的安全编程培训
D.关于 ARM 系统漏洞挖掘方面安全知识的培训
[单选题]某单位需要开发一个网站,为了确保开发出安全的软件。软件开发商进行了 OA 系统的威胁建模,根据威胁建模,SQL 注入是网站系统面临的攻击威胁之一, 根据威胁建模的消减威胁的做法。以下哪个属于修改设计消除威胁的做法( )
A.在编码阶段程序员进行培训,避免程序员写出存在漏洞的代码
B.对代码进行严格检查,避免存在 SQL 注入漏洞的脚本被发布
C.使用静态发布,所有面向用户发布的数据都使用静态页面
D.在网站中部署防 SQL 注入脚本,对所有用户提交数据进行过滤
[单选题]某单位根据业务需要准备立项开发一个业务软件,对于软件开发安全投入经费研讨 时开发部门和信息中心就发生了分歧,开发部门认为开发阶段无需投入,软件开发完成后发 现问题后再针对性的解决,比前期安全投入要成本更低;信息中心则认为应在软件安全开发 阶段投入,后期解决代价太大,双方争执不下,作为信息安全专家,请选择对软件开发安全 投入的准确说法?
A.信息中心的考虑是正确的,在软件立项投入解决软件安全问题,总体经费投入比软件 运行后的费用要低
B.软件开发部门的说法是正确的,因为软件发现问题后更清楚问题所在,安排人员进行 代码修订更简单,因此费用更低
C.双方的说法都正确,需要根据具体情况分析是开发阶段投入解决问题还是在上线后再 解决问题费用更低
D.双方的说法都错误,软件安全问题在任何时候投入解决都可以,只要是一样的问题,
[单选题]甲软件公司受乙企业委托安排公司软件设计师开发了信息系统管理软件,由于在委托开发合同中未对软件著作权归属作出明确的约定,所以该信息系统管理软件的著作权由( )享有。
(10
A.甲
B.乙
C.甲与乙共同
D.软件设计师
[单选题]由于频繁出现软件运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是()
A.要求开发人员采用敏捷开发模型进行开发
B.要求所有的开发人员参加软件安全意识培训
C.要求规范软件编码,并制定公司的安全编码准则
D.要求增加软件安全测试环节,今早发现软件安全问题
[单选题]下面哪个模型和软件安全开发无关()?
A.微软提出的“安全开发生命周期(Security Development Lifecycle,SDL)”
B.Gray McGraw 等提出的“使安全成为软件开发必须的部分(Building Security IN, BSI) ”
C.OWASP 维护的“软件保证成熟度模型(Software Assurance Maturity Mode,SAMM)”
D.“信息安全保障技术框架(Information Assurance Technical Framework,IATF)”
[单选题]某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周 期的讨论,在下面的发言观点中,正确的是()
A.软件安全开发生命周期较长,而其中最重要的是要在软件的编码...好安全措施,就可 以解决 90%以上的安全问题。
B.应当尽早在软件开发的需求和设计阶段增加一定的安全措施,这样可以比在软件发布 以后进行漏洞修复所花的代价少得多。
C.和传统的软件开发阶段相比,微软提出的安全开发生命周期
(securitydevetqpmefrtliocyclnsdl)的最大特点是增加了一个专门的安全编码阶段。
D.软件的安全测试也很重要,考试到程序员的专业性,如果该开发人员已经对软件进行 了安全性测试,就没有必要再组织第三方进行安全性测试。
[单选题]某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周期的讨论,在下面的发言观点中,正确的是()
A.软件安全开发生命周期较长,阶段较多,而其中最重要的是要在软件的编码阶段做好安全措施,就可以解决90%以上的安全问题
B.应当尽早在软件开发的需求和设计阶段就增加一定的安全措施,这样可以比在软件发布以后进行漏洞修复所花的代价少的多。
C.和传统的软件开发阶段相比,微软提出的安全开发生命周期的最大特点是增加了一个抓们的安全编码阶段
D.软件的安全测试也很重要,考虑到程序员的专业性,如果该开发人员已经对软件进行了安全性测试,就没有必要再组织第三方进行安全性测试
[单选题]由于频繁出现计算机运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是()
A.要求所有的开发人员参加软件安全开发知识培训
B.要求增加软件源代码审核环节,加强对软件代码的安全性审查
C.要求统一采用 Windows8 系统进行开发,不能采用之前的 Windows 版本
D.要求邀请专业队伍进行第三方安全性测试,尽量从多角度发现软件安全问题
[单选题]关于软件安全开发生命周期(SDL),下面说法错误的是:
A.在软件开发的各个周期都要考虑安全因素
B.软件安全开发生命周期要综合采用技术、管理和工程等手段
C.测试阶段是发现并改正软件安全漏洞的最佳环节,过早或过晚检测修改漏洞都将增大软件开发成本
D.在设计阶段就尽可能发现并改正安全隐患,将极大减少整个软件开发成本
