| |
|
1. 識別資產並鑑定其價值,透過威脅建模(如STRIDE模型)、專家訪談、過往案例分析等方法,識別可能對系統安全造成威脅的因素。此風險管理步驟會產出什麼文件?
- 風險威脅清單
- 威脅清單
- 詳細的安全需求修正計畫
- 更新後的需求檢核項目
|
|
| |
|
2. 安全版本控制使用版本控制系統(如Git、SVN等)來管理軟體開發的所有檔案和程式碼修改。這種做法的主要目的是?
- 問題追蹤與回溯:如果新的程式碼引入了錯誤或問題,版本控制系統可以快速定位到具體的變更,並且能夠輕鬆地回滾到最近的穩定版本
- 分支管理:允許多個開發人員在隔離的環境中工作,進行功能開發、修復或實驗,之後再將這些變更合併回主分支
- 記錄修改:每次提交都記錄在版本控制系統中,包括修改的內容、時間和負責人。這提供了完整的修改歷史紀錄,方便追蹤和審核
- 以上皆是
|
|
| |
|
3. 安全系統發展生命週期(SDLC)的正確順序是?
- 需求、部署、設計、開發、測試、維運
- 設計、開發、測試、部署、需求、維運
- 需求、設計、開發測試、部署、維運
- 設計、需求、開發、部署、測試、維運
|
|
| |
|
4. 以下何者為SSDLC需求階段的關鍵安全方向?
- 組建團隊
- 辨識利害關係人
- 需求訪談與文件化
- 以上皆是
|
|
| |
|
5. 在SSDLC的測試階段,以下何者是重要的安全測試方法?
- 模糊測試
- 壓力測試
- 滲透測試
- 以上皆是
|
|
| |
|
6. 在安全系統發展生命週期中進行測試至關重要,以下何者選項並非測試階段的重點?
- 進行程式碼審查,確保程式碼的一致性、發現邏輯錯誤
- 測試系統的效能瓶頸
- 發現潛在的安全漏洞
- 驗證系統中不同的使用者介面(UI)之間的互動是否準確和有效
|
|
| |
|
7. 下述關於備份策略的說明,何者正確?
- 差異備份:對前一次完整備份後,新增或變更的資料進行備份。差異備份通常比完整備份更快,但恢復資料時需要最近的完整備份和最後一次的差異備份
- 完整備份:系統完整複製所有資料,備份最全面但通常需要較長時間和更多儲存空間
- 增量備份:對前一次完整或增量備份後,新增或變更的資料進行備份。此方式可以節省更多儲存空間,但在恢復資料時需要最近的完整備份以及自那時以來的所有增量備份
- 以上皆是
|
|
| |
|
8. 程式碼審查在SSDLC的開發階段至關重要,以下關於程式碼審查的敘述,何者有誤?
- 通常都使用弱點掃描工具來發現問題
- 同儕審查:程式碼由同一團隊的其他開發者審查
- 程式碼審查:開發者對團隊解釋其程式碼的邏輯和決策,以進行審查和討論
- 是一個系統性的檢查過程,通常是讓同事或主管審查自己的程式碼,目的是確保一致性、發現邏輯錯誤、安全漏洞或是後門等,以提高程式碼品質,並共享知識和最佳實務
|
|
| |
|
9. 在SSDLC中,什麼是威脅建模的主要目的?
- 用於識別、量化和管理安全威脅
- 提高程式碼效能
- 最小化系統成本
- 優化使用者體驗
|
|
| |
|
10. 對識別出的威脅進行風險分析與評估,包括分析這些威脅發生的可能性和對系統造成的衝擊。常用的風險分析方法包括定性評估(如低、中、高)和定量評估(如損失期望值)。此風險管理步驟會產出什麼文件?
- 風險評估報告
- 威脅清單
- 詳細的安全需求修正計畫
- 更新後的需求檢核項目
|
|
| |
