8.1. 理解并整合软件开发生命周期 (SDLC） 中的安全问题

8.2.识别和应用软件开发生态系统中的安全控制措施

8.3.评估软件安全的有效性

8.4. 评估所购软件的安全影响

8.5. 定义并应用安全编码准则和标准

1.Susan 为她所在的组织提供了一个公共的 RESTful API， 但希望将其使用限制在可信赖的合作伙伴范围内。她打算使用 API密钥。你会给 Susan什么其他建议来限制服务的潜在滥用？ A.限制请求速率 B. 强制使用仅限 HTTP 的请求 C.避免使用令牌以避免带宽限制 D.将GET、POST 和PUT 等 HTTP 方法列入黑名单

2.Darren 正在进行威胁猎杀演练，并希望寻找僵尸网络的入侵指标。以下哪些是攻击者利用僵尸网络的常见方式？（选择所有适用的选项。） A.挖矿加密货币 B. 进行暴力破解攻击 C.扫描易受攻击的系统 D. 进行中间人攻击

3.以下哪个陈述关于代码审查是不正确的？ A．代码审查应该是一个由多个开发人员参与的同行驱动的过程。 B. 代码审查可以自动化。 C. 代码审查发生在设计阶段。 D.代码审查者每小时可能期望审查几百行代码。

4. Kathleen 正在审查下面展示的Ruby代码。这段代码使用了哪种安全技术？ Insert.new.userE = db.prepare. "INSERT info users (name. userid，gender.usertyre)VALUES (?, ?,?,?,)" insert new. user.execute "davids', '194567', 'male', 'admin A. 参数化 B.类型转换 C. Gem 切割 D.存储过程

5.Jessica 正在审查她所在组织的变更管理流程，并希望验证软件变更是否包括 验收测试。哪个流程负责实现这个目标了 A. 请求控制 B.变更控制 C.发布控制 D. 配置控制

6.AsMov正在调在一起入侵事件，该事件入侵了她一个用户的账户。在这次攻击中，攻击着通是利用用浏览器中的信任关系，强制提交了一个经过身份安证的请求到第三方网站。最可能发生了哪种类型的攻击？ A. xSS（跨站脚本） B. CSRF（跨站请求伪造) C. SQL注入 D.会话劫持

7.amovd 正在的建一个新的软件包，并使用了 openssL 库。最适合描达他正在使用的库的术语是什么？ A.开源 B. COTS（现成的软件） C. 第三方 D. 管理型

8 jaime 是一名技术 支特分析师，被要求访问一个用户的计算机，该计算机显示了下面的错误信息。这台计算机进入了哪种状态？ A.失效开放 B. 无法恢复的错误 C.内存耗尽 D. 失效安全

9.Joshua 正在为他所在组织开发一个软件威胁建模程序。下面哪些是该程序的合适目标？（选择所有适用的选项。） A. 减少安全相关设计缺陷的数量 B.减少安全相关编码缺陷的数量 C.减少非安全相关缺陷的严重程度 D.减少威胁向量的数量

10. 在下面展示的图表中，哪一个是一个方法(method)的例子？ Account Balance: currency = 0 Owner: string AddFunds(deposit: currency) RemoveFunds(withdrawal: currency) A. 账户 B.拥有者 C.添加资金 D. 余额

11.Wanda 正在审查她所在组织使用的应用程序开发文档，并发现了下面展示的生命周期示意图。她的组织正在使用哪种应用程序开发方法？ A. 瀑布模型 B. 螺旋模型 C.敏捷模型 D. RAD(快速应用程序开发）

12. 以下哪种测试方法通常在没有源代码访问权限的情况下进行？ A.动态测试 B. 静态测试 C.白盒测试 D. 代码审查

13. Lucca 正在分析他所在组织从第三方供应商获得的一个web 应用程序。Lucca确定应用程序包包含一个缺陷，使得已登陆的用户能够在其角色中执行中不应该能够执行的操作。这种安全漏洞应该被归类为哪种类型？ A.数据验证 B. 会话管理 C. 授权 D.错误处理

14.Bobby 正在调查一个经授权的数据库用户如何获取超出其正常权限级别的信息。Bobby 认为用户正在使用一种汇总数据的函数类型。哪个术语描述了这种类型的函数？ A. 推断 B. 多态 C. 聚合 D.模块化

15. Taylor希望更好地保护她所在组织开发的应用程序免受缓冲区溢出攻击。以下哪种控制措施最能提供这种保护？ A. 加密 B. 输入验证 C. 防火墙 D.人侵防御系统

16.Kayla最近对她因队开发的软件进行了彻底的风险分析和缓解审查，并确定了三个持久性问题： 1. 跨站脚本 (XSS) 2. SQL注入 3.缓冲区溢出 这些问题中，哪个是她团队工作中最重要的缺陷？ A.缺乏 API 安全 B.不正确的错误处理 C不正确或缺失的输入验证 D.源代码设计问题

对于回题 17-20，请参考以下情景： Robert 是一名顾问，帮助组织创建和发展成熱的软件开发实践。他倾向使用软件能力成熱度模型(SW-CMM) 通过独立审查和自我评估来评估组织的当前和末来状态。他目前正在与两个不同的客户合作。 Acme widgets 在软件开发实践方面组织得不大好。它有一支专门的开发团队，他们会尽一切努力发布软件，但是他们没有任何正式的流程。 Beta Particles 是一家有多年经验的公司，使用正式的、文档化的软件开发流程开发软件。它使用标淮的软件开发模型，但没有对这些流程进行定量管理。 17. 根据 SW-CMM，Robert 应报告 Acme Widgets 的当前状态处于哪个阶段？ A. 己定义 B.可重复的 C. 初始的 D.管理的 18.Robert 正在与 Acme Widgets 合作制定推进他们的软件开发实践的战略。他们的下一个目标里程碑应该是SW-CMM 的哪个阶段？ A. 已定义 B.可重复的 C.初始的 D.管理的 19. 根据 SW-CMM，Robert 应报告 Beta Particles 的当前状态处于哪个阶段？ A.已定义 B.可重复的 C.优化的 D.管理的 20.Robert 还在与Beta Particles 合作制定推进他们的软件开发实践的战略。他们的下一个目标里程碑应该是SW-CMM 的哪个阶段？ A. 己定义 B. 可重复的 C.优化的 D.管理的

21.下列哪个数据库键用于强制表之间的参照完整性关系？ A. 主键 B. 候选键 C 外键 D.主键

22,8rynn 认为她组织的系统可能被一种宏病毒人侵。下列哪个文件最有可能是罪魁祸首？ A. projections.doc B. command.com C. command.exe D. loopmaster.exe

23. Victor 创建了一个包含有关组织员工信息的数据库表。该表包含员工的用户 ID、三个不同的电话号码宇段（家庭、工作和移动）、员工的办公室位置和员工的职称。表中有16条记录。这个表的度是多少？ A. 3 B. 4 C. 6 D. 16

24.Carrie 正在分析她的基于Web 的应用程序的应用程序日志，发现了以下字 符串： /////./etc/passwd 对 Carrie 的应用程序进行了什么类型的攻击？ A. 命令注入 B. 会话劫持 C. 目录遍历 D.暴力破解

25 在按照软件开发生命周期SDLC方法进行软件开发时，设计审查应在何时进行 A. 代码审查之后 B. 用户验收测试之后 C.功能需求开发之后 D.单元测试完成之后

26. Tracy 正准备为组织的企业资源规划系统应用补丁。她担心补丁可能引入之前版本中不存在的缺陷，因此她计划进行一项测试，将先前的输入响应与新修补的应用程序产生的响应进行比较。Tracy 计划进行的是哪种类型的测试？ A. 单元测试 B. 验收测试 C.回归测试 D.漏洞测试

27. 用什么术语来描述软件没有漏洞的程度，无论是故意设计到软件中的漏洞，还是在其生命周期中的任何时间意外插入的漏洞，并且软件按照预期的方式运行？ A. 验证 B.认证 C. 置信区间 D. 保证

28.victor最近在一个在线约会网站上担任新职位，并负责领导一个开发团队。 他很快意识到，开发人员在处理不同的项目时会对生产代码进行冲突修改，这导致了生产代码的问题。Victor 应投资改进哪个流程？ A. 请求控制 B. 发布控制 C. 变更控制 D.配置控制

29.Tom 正在评估与他管理的数据库相关的安全风险。检查用户访问控制，他确定用户可以访问与其权限匹配的表中的单个记录，但是如果他们提取多个记录，则那些事实的集合的分类比任何单独事实的分类更高，并超过了允许的访问权限。Tom 识别出了哪种类型的问题？ A. 推理 B. SQL注入 C.多级安全 D.聚合

30. Ron 领导一个软件开发团队，他们经常重新创建执行常见功能的代码。他应该使用哪个软件开发工具来最好地解决这个问题？ A. 代码仓库 B. 代码库 C.集成开发环境 (IDE) D.动态应用安全测试 (DAST)

31. Vivian 希望聘请一名软件测试员来评估一个新的 Web 应用程序，从用户的角度进行评估。下列哪个测试最好地模拟了这种角度？ A. 黑盒测试 B.灰盒测试 C.蓝盒测试 D.白盒测试

32. 如果在Accounts 表中没有账户号码为 1001 的账户，会发生什么情况？ BEGIN TRANSACTION UPDATE accounts SET balance = balance + 250 WHERE account _number = 1001; UPDATE accounts SET balance = balance - 250 WHERE account number = 2002; COMMIT TRANSACTION A. 数据库会创建一个新的账户，并给它250 美元的余额。 B数据库会忽略该命令，并仍然将第二个账户的余额减少 250 美元。 C.数据库会回滚事务，忽略两个命令的结果。 D.数据库会生成错误消息。

33. Brandon 是一名软件开发人员，希望将他的软件与一家知名社交媒体网站集成。该网站提供给他可以用来更好地集成他的代码的软件库，以及其他使他的工作更容易的工具。哪个术语最好地描述了 他使用的服务？ A. SDK （软件开发工具包） B. DLP（数据丢失预防） C. IDE（集成开发环境） D.API(应用程序接口）

34. kim 正在排除一台应用程序防火墙的故障，该防火墙作为组织的网络和主机防火墙以及入侵防御系统的补充，提供额外的保护，防止基于 Web 的攻击。组织遇到的问题是防火墙会经常重新启动，导致其在一段时间内不可用，每次重新启动需要 10 分钟。kim 可以考虑采用以下哪种配置，在该期间以对公司成本最低的方式保持可用性？ A. 高可用性集群 B. 故障切换设备 C. 故障开放 D.冗余磁盘

35. 当攻击者可以通过分析多个低级别的信息来推断出更敏感的信息时，会出现哪种类型的安全问题？ A. SQL注入 B. 多级安全 C.参数化 D.推理•

36. Greg 正在与他所在组织的恶意软件爆发作斗争。他使用专门的惡意软件公 析工具从三个不同的系统中捕获了恐意软件样本，并注意到代码在每次感染时都会略有变化。Greg 认为这就是导致防病毒软件难以击败爆发的原因。Greg 应怀疑哪种类型的恶意软件负责这起安全事件？ A. 隐形病毒 B. 多态病毒 C. 多部分病毒 D.加密病毒

对于问题 37-40，请参考以下场景： Linda 正在审查公司网站上用户论坛的站子，当她浏览特定的站时，一个弹出 以下代码片段： 窗口上显示了一个消息框，上面写着“警告。。她查看了站子的源代码，发现 <script>alert('Alert"'); </script> 37. Linda 的留言板上肯定存在什么漏洞？ A. 跨站脚本攻击 B. 跨站请求伪造 C.SQL注入 D.不正确的身份验证 38. 在论坛上发布包含此代码的消息的用户的动机可能是什么？ A. 侦察 B. 盗取敏感信息 C. 窃取凭证 D. 社会工程学 39. Linda 与供应商进行沟通，并确定没有可用的补丁来修复这个漏洞。以下哪种设备最有助于帮助她防御进一步的攻击？ A. VPN(虚拟专用网络) B. WAF (web 应用程序防火墙） C.DLP（数据丢失预防) D.IDS（入侵检测系统） 40，在与供应商进一步讨论中，linda发现他们愿意解决整个问题，但是不知道如何更新他们的软件。以下哪种技术在减轻应用程序对此类攻击的漏洞方面最有效？ A. 边界检查 B. 同行评审 C. 输入验证 D.操作系统修补

41. Hannah 是一名软件开发人员，正在使用R编程语言创建统计软件。她使用如下所示的RStudio 工具来帮助她编写代码。哪个术语最好地描述了这个工具？ A. SDK（软件开发工具包） B. IDE（集成开发环境） C.API(应用程序接口） D.DLP（数据丢失预防）

42. Lauren 希望为她正在开发的应用程序使用一种软件审查过程。如果她是一个远程工作者，并且与其团队的其他成员工作时间不同，以下哪种过程最适合她？ A. 传递 B.成对编程 C. 团队审查 D. Fagan检查

43. Alan 正在将Java 代码部署到他的环境中的各种机器上，并必须首先在这些机器上安装JVM。在这种情况下，哪个术语最好地描述了 JVM? A. 存储库 B. 变更管理器 C.运行时 D.沙箱

44.Christine 即将完成对一个新软件包的测试的最后阶段。以下哪种类型的软件测试通常是最后进行的，针对测试场景执行？ A. 单元测试 B. 集成测试 C.用户验收测试 D.系统测试

45.Alexis 的组织最近采用了 CI/CD 的软件开发方法，他们打算加快支持其网站的代码部署速度。使用这种方法，他们可以合理地预期达到多大的频率？ A. 每月部署 B. 每周部署 C.每日部署 D.每日数百次部署

46.Amber 正在进行威胁情报项目，并希望找到关于她组织的 Web 应用程序威胁的信息来源。以下哪个组织被广泛认为是关于基于 Web 的攻击向量信息的权威来源？ A. (ISC)2 B. ISACA C. OWASP D. Mozilla Foundation

47.Chris 是一名软件开发人员，他正在积极编写应用程序的代码。他在敏捷过程的哪个阶段？ A. 计划 B. 冲刺 C部署 D.开发

48. Ayssa 的团队最近实施了一个新系统，该系统从各种不同的日志源收集信息，分析这些信息，然后针对安全事件触发自动化的playbook。哪个术语最好地描迷了这项技术？ A.SIEM（安全信息和事件管理） B. 日志存储库 C.IPS（入侵防御系统） D. SOAR（安全自动化和响应)

49.Chris 正在市在他计划在组织中使用的开源应用程序的代码。他发现了以下 代码片段： int myarray(10); myarray[10] = 8; 正在发生什么类型的攻击？ A. 数据类型不匹配 B.溢出 C. SQL注入 D.隐蔽通道

50. 以下哪种数据库问题会发生在一个事务写入数据库时覆盖了较早优先级事务所需的值？ A.脏读 B. 错误摘要 C. 丢失更新 D.SQL注入

51.Belinda 希望更好地保护组织的 web 应用程序用户免受 Cookie 窃取攻击。 以下哪种控制措施最有效防止这种类型的会话劫持攻击？ A.TLS（传输层安全） B.复杂的会话 Cookie C.SSL (安全套接层) D.经常过期的 Cookie

52.在软件配置管理计划中，CAB （交更控制委员会）的主要角色是什么？ A.批准开发人员的凭据。 B. 促进经验教训会议。 C.审查和批准/拒绝代码更改。 D.优先处理软件开发工作。

53 以下哪个工具常被软件开发人员用于与存储在代码仓库中的代码进行交互 和管理？ A. grep B. git C. Isof D. gec

54. 在评估潜在的安全事件时，Hary 发现了一个来自Web 服务器请求的日志 条目，显示一个用户在一个表单字段中输入了以下输入 CARROT&1=1;--这是什么类型的攻击？ A. 缓冲区溢出 B. 跨站脚本 C.SQL注入 D.跨站请求伪造

55.以下哪项控制措施对抵御 SQL注入攻击不起效果？ A. 转义 B. 客户端输入验证 C. 参数化 D．限制数据库权限

56.Jason 正在审核一个软件开发项目的文档，并发现了下面显示的图表。他正在审查什么类型的图表？ A. WBS 图 B.PERT 图 C. 甘特图 D.线框图

57. 在哪种软件测试技术中，评估者每次软件更改时都会重新测试大量场景，以验证结果是否与标准基线一致？ A. 正交数组测试 B. 模式测试 C. 矩阵测试 D.回归测试

58.Haley 正在审查由她的组织创建的代码，以评估其可能存在的Web 应用程序漏洞。以下哪种情况可能使应 用程序最容易受到跨站脚本 (XSS)攻击？ A. 输入验证 B. 反射输入 C. 未修补的服务器 D.松散的防火墙规则

59.Roger 正在为他的公司开发的一个税务准备应用程序进行软件测试。最终用户将通过 web 访问该应 用程序，但 Roger 正在进行后端测试，，评估 Web服务器上的源代码。Roger 正在进行什么类型的测试？ A. 白盒测试 B. 灰盒测试 C. 蓝盒测试 D.黑盒测试

60． 关于基于启发式的反恶意软件软件，以下哪种说法是正确的？ A. 它的误报率低于签名检测。 B. 它需要频繁的定义更新以检测新的恶意软件。 C.它比签名检测更有可能检测到零日漏洞利用。 D.它监控系统以查找已知是病毒的内容文件。

61. Martin 正在检查一个系统，用户报告了异常活动，包括在系统闲置时的磁盘活动和异常的 CPU 和网络使用。他怀疑机器被病毒感染，但扫描结果却显示清除。这里可能使用了哪种恶意软件技术，解释了扫描结果的干净？ A. 文件感染病毒 B. MBR 病毒 C. 服务注入病毒 D.隐蔽病毒

62.Tomas 在应用程序日志中发现了一行，似乎对进行目录遍历攻击的尝试进行了相应。他认为这次攻击是使用URL编码进行的。该行的内容如下 %252E%252E%252F252E%252E%252Fetc/passwd%252E%252E8252F 对应的宇符是什么？ A.. B., C. D. /

63. 一个攻击者在一个公开讨论论坛上发布了一条包含嵌入恶意脚本的消息，该脚本在用户读取时在用户的系统上执行，但不显示给用户。这是哪种类型的攻击？ A. 持久性跨站请求伪造 B. 非持久性跨站请求伪造 C.持久性跨站脚本 D.非持久性跨站脚本

64. 以下哪项不是敏捷软件开发过程的原则？ A. 欢迎变化的需求，即使在开发过程的后期。 B. 最大化未完成的工作量是关键。 C.清晰的文档是进展的主要衡量标准。 D. 围绕积极主动的个体构建项目。

65.Gavin 是一名内部审计员，负责审查组织的变更管理实践。他想要审查一系列到每个拟议变更的描述？列对软件包进行的变更，以确定是否已经正确记录了这些变更。他应该在哪里 A. CAB（变更控制委员会） B. RFC（变更请求） C. SOAR （安全自动化和响应) D.SIEM（安全信息和事件管理）

66. Neal 正在使用 DynamoDB 数据库。该数据库的结构不像关系型数据库，但允许 Neal 使用键-值存储来存储数据。DynamoDB 是什么类型的数据库？ A. 关系型数据库 B. 图数据库 C. 分层数据库 D. NoSQL 数据库

67. 在这个事务中，如果在第一个和第二个更新语句之间数据库发生故障，会发生什么情况？ BEGIN TRANSACTION UPDATE accounts SET balance = balance + 250 WHERE account_number = 1001; UPDATE accounts SET balance = balance - 250 WHERE account_number = 2002; COMMIT TRANSACTION A，数据库会将第一个账户的资金增加250 美元，但不会减少第二个账户的余额。 B.数据库会忽略第一个命令，只减少第二个账户的余额250 美元。 C. 数据库将回滚事务，忽略两个命令的结果。 D.数据库会成功执行两个命令。

68. Tareck 的组织大量使用 COTS 软件。他最近在一个对他的业务至关重要的 COTS 软件包的代码中发现了一个重要的缓冲区溢出漏洞。Tareck 最有可能通过哪种方式来纠正这个问题？ A. 与软件开发团队合作修改代码。 B.通知供应商并请求补丁。 C. 部署入侵防御系统。 D.更新防火墙规则。

69．以下哪项关于软件测试的说法是正确的？ A. 静态测试在运行时环境上进行。 B. 静态测试执行代码分析。 C.动态测试使用自动化工具，而静态测试不使用。 D.静态测试是比动态测试更重要的测试技术。

70.David 正在为软件开发项目制定项目进度表，他发现了下图所示的图表。这是什么类型的图表？ A. 工作分解结构图 B. 功能需求图 C. PERT 图 D.甘特图

71.Barry 是一名软件测试员，他正在使用公司开发的一个新的游戏应用程序。 他正在智能手机上玩游戏，以便在尽可能模拟正常终端用户环境下进行测试，但他在进行测试时参考了源代码。Barry 正在进行哪种类型的测试？ A. 白盒测试 B. 黑盒测试 C.蓝盒测试 D.灰盒测试

72.Miguel 最近对他的组织用于处理敏感信息的应用程序进行了渗透测试。在测试过程中，他发现了一种情况，攻击者可以利用时间条件来操纵软件，使其允许他执行未经授权的操作。以下哪种攻击类型符合这种情况？ A. SQL注入 B.跨站脚本 C. 传递哈希 D. TOC/TOU

73. 图中显示的输入参数用于安全审查过程的哪一部分？ A. SQL 注入审查 B. 冲刺审查 C.Fagan 检查 D.攻击面识别

74以下哪个应用程序安全过程可以用以下三个主要步骤来描述？ 1.分解应用程序 2.确定和排序威胁 3. 确定对策和缓解措施 A. Fagan 检查 B.威胁建模 C.渗透测试 D.代码审查

75.以下哪种故障管理方法从安全角度来看最保守？ A.故障开放 (Fail open) B. 故障缓解 (Fail mitigation) C. 故障清除( Fail clear ) D.故障关闭 (Fail closed)

76. 图中显示的软件开发模型是什么？ A. 瀑布模型 B.敏捷模型 C. 精益模型 D.螺旋模型

77. Mark 正在考虑用一款新的云产品替换他的组织的客户关系管理 (CRM)解决方案。这个新的解決方案完全由供应商管理，Mark的公司不需要编写任何代码或管理任何物理资源。Mark 正在考虑哪种类型的云解决方案？ A. laas （基础设施即服务） B. Caas （容器即服务） C. Paas （平合即服务） D.Saas（软件即服务）

78. 以下哪种变更管理过程是由用户发起而不是开发人员发起的？ A. 变更请求 B. 变更控制 C.发布控制 D.设计审查

79.Teagan 想要更好地保护他的组织免受数据库推断攻击。以下哪种技术是有效对抗这些攻击的对策？ A.输入验证 B. 参数化 C. 多重实例化 D.服务器端验证

80. Ursula 是一名政府网站开发人员，最近创建了一个公开的应用程序，提供房地产记录查询。她希望其他开发人员可以将其集成到他们的应用程序中使用。 为了使开发人员能够直接调用她的代码并将输出集成到他们的应用程序中，Ursula可以创建什么？ A. 对象模型 B. 数据宇典 C. API D.主键

81. Nathan 最近完成了一个软件开发项目，将组织的网络运营堆栈与开发流程进行了整合。因此，开发人员可以根据需要从他们的代码中修改防火墙规则。 以下哪个术语最能描述这种能力？ A.敏捷 B. laC （基础设施即代码) C. SDS（软件定义的安全） D. DevOps

82.TJ正在检查一个系统，用户报告了奇怪的错误消息和无法访问文件的问题。他看到了图中显示的窗口。TJ应该怀疑哪种类型的恶意软件？ A. 服务注入 B. 加密病毒 C. SQL注入 D.勒索软件

83. Charles 正在开发一个对人员安全直接影响重大的关键应用程序。相对于时间和成本，正确运行的软件更为重要。在这些要求下，他应该选择以下哪种软件开发方法论？ A. 敏捷 B. DevOps C.螺旋 D.瀑布

84.以下哪种人工智能类型试图使用复杂计算来复制人类思维的部分功能？ A. 决策支持系统 B. 专家系统 C.知识库 D.神经网络

85，在软件能力成熟度模型(SW-CMM）的哪个级别上，组织引入基本的生命 周期管理过程？ A. 初始级 B.可重复级 C. 定义级 D.受控级

86.Lucas 负责运行他公司的会计系统。在一名重要员工被解雇的次日，系统开始出现信息丢失的情况。Lucas 怀疑这名离职员工在离职前篡改了系统。Lucas应该怀疑哪种攻击类型？ A. 特权升级 B. SQL注入 C.逻辑炸弹 D.远程代码执行

87. 在敏捷软件开发方法中，以下原则中哪一个不会被青睐？ A.过程和工具高于个体和互动 B. 可工作的软件高于详尽的文档 C.与客户的合作高于合同的谈判 D.对变化的响应高于遵循计划

88.API 开发人员最常用哪种技术来限制 API 的访问仅限于授权的个人和应用程序？ A. 加密 B. 输入验证 C.API密钥 D.IP过滤器

89.Reggie 最近收到公司内部审计员的来信，安排了一次对他的团队进行评估的启动会议。在那次会议中，Reggie 不应该期望了解以下哪个方面的内容？ A. 审计的范围 B. 审计的目的 C.预期时间框架 D.预期的发现结果

90. 软件开发的瀑布模型中，以下哪个是正确的步骤顺序？ A. 需求、设计、测试、编码、维护 B. 需求、设计、编码、测试、维护 C. 设计、需求、编码、测试、维护 D.设计、需求、测试、编码、维护

91.Renee 是一名软件开发人员，她使用 Node/s 为公司编与代码。公司正考虑从自助托管的 Node/s 环境转变为由云供应商管理的应用程序服务器上运行代码的环境。Renee 的公司考虑的是哪种类型的云解决方案？ A. laas(基础设施即服务） B. Caas （容器即服务） C. Paas （平台即服务） D.Saas （软件即服务）

92. Tom 正在编写一个软件程序，用于计算不同司法管辖区 在线订单的销售税。该应用程序包括一个用户定义字段，允许输入总销售金额。Tom 希望确保在该字段输入的数据是格式正确的美元金额。他应该使用哪种技术？ A. 限制检查 B. 开放失败 C. 安全失败 D.输入验证

93.Brian 正在帮助实施组织的一种新的软件测试方法，并希望审查他的工具包的完整性。以下哪些是被认为是动态应用程序安全测试 （DAST)工具？（选择所有适用的） A. 代码审查 B. 模糊测试 C. 静态分析 D.Web应用程序漏洞扫描

94.以下哪种技术管理方法综合了图中所示的技术管理的三个组成部分？ A. 敏捷 B. 精益 C. DevOps D.ITIL(T 基础架构库)

95.Olivia 正在对她的组织从第三方获取的 Web 应用程序进行风险分析，并担心它可能存在漏洞。以下哪项活动可以最好地减轻风险？ A. 部署 WAF (网络应用防火墙） B.实施强大的加密 C.购买保险政策 D.停止使用该软件

96. 以下哪个数据库并发问题发生在一个車务读取了由第二个事务写人数据库但从未提交的信息？ A. 丢失更新 B. SQL注入 C. 错误摘要 D.脏读取

97.以下哪个软件开发概念在20 世纪 90年代由国防部首创，旨在将不同的产品开发团队聚集在一起？ A.集成产品团队 B.敏捷方法论 C.Scrum 方法 D.用户故事

98.Frank 正在努力选择一个新的云服务，为他的团队开发的应用程序提供对象存储。Frank 计划使用哪个云服务类别？ A. Saas（软件即服务） B. laas（基础设施即服务) C. Faas （西数即服务） D.Paas（平台即服务）

99. 将编号的代码测试方法与字母的定义进行匹配： 代码测试方法 1. 回归测试 2.集成测试 3. 单元测试 4. 系统测试 定义 A. 在完全集成的产品上进行测试 B. 一种侧重于模块或较小代码部分进行测试的方法 C.用于验证之前测试的软件在进行更改后的表现相同的测试方法 D．用于验证软件模块如何一起工作的测试方法

100. 将以下编号的术语与宇母的定义进行匹配： 1.会话劫持 2.跨站脚本 3.跨站请求伪造 4. SQL 注入 A. 将恶意脚本注入到受信任的网站中的攻击 B. 通过不安全的 Web 应用程序设计，旨在执行针对数据库的命令的攻击 C.一种常常涉及 Cookie 或密钥以获取未经授权的对计算机或服务访问的利用方法 D．强制用户在他们当前登录的网站或应用程序中执行不需要的操作的攻击