总工办2022年5月安全培训测试题-调查问卷模板-问卷网

您的名字

____________

1.下列不属于外购信息系统安全测试报告的是？

A.系统的渗透测试报告或安全检测报告。

B.IAST交互式安全检测报告。

C.静态代码扫描报告，可使用静态代码安全审计工具，如：CheckMarx、Fortify SCA （Static Code Analyzer）、代码卫士等。

D.第三方权威机构提供的安全认证或安全测评（等保测评、ISO27001等）报告。

2.下列关于外购信息系统安全要求说法错误的是？

A.提供的安全测试报告需满足无漏洞，若有需修复。

B.项目合同安全要求参考《供应商软件安全保证协议》并要求供应商签署。

C.外购信息系统的引入时必须通过安全测试（安全提测）。

D.当供应商发现系统的漏洞时无需上报漏洞信息。

3.下列关于安全编码规范说法错误的是？

A.包含开发语言有Java、Python、PHP、Go、iOS、Android、C/C++、JavaScript。

B.安全编码规范的培训和考核已作为研管委人事晋升评估指标。

C.对于OEMin产品二次开发时无需遵从安全编码规范要求。

D.开发人员需要遵从各个语言安全编码规范进行安全编码。

4.下列不属于自主安全测试的内容是？

A.静态代码扫描（代码卫士）

B.第三方开源组件扫描（开源卫士）

C.自动化安全测试（灵脉IAST BurpSuite Xray）

D.开源软件扫描（BlackDuck）。

5.下列不属于安全提测范围的是？

A.需要上线的自研或外购信息系统。

B.需对外发布的所有产品在研版本或产品补丁。

C.开发的公共技术平台的项目或产品。

D.技术预研的项目或产品。

6.关于安全提测要求错误的是？

A.已完成三项自主安全测试内容。

B.未经提测的产品/系统，不允许上线/发布，违者将参照相关条例进行安全事件通报。

C.根据安全提测操作指南详细、准确、完整填写提测内容，降低沟通成本，才能尽快安排安全测试。

D.安全提测时间不需要提前两周安排。

7.下列关于加急安全测试申请说法错误的是？

A.向组织负责人、网络安全部发送提测插队申请，网络安全部紧急处理安全测试，争取上线前完成安全测试。

B.加急增量安全测试至少保证预留1天以上时间，加急全量安全测试至少保证预留3天时间。

C.当多个待测系统同时插队提测时，按照加急时间先后排队进行安全测试。

D.如果产品急需上线提加急申请，不用预留时间。

8.下列关于安全测试漏洞推修通知单说法错误的是？

A.漏洞通知邮件的目的是提醒产线安全质量较差，产线在修复漏洞的同时需要进行同类型漏洞排查。

B.如果满足任意一条就会发送邮件：严重漏洞数量≥ 1、高危漏洞数量≥ 2、中危漏洞数量≥ 4。

C.两个中危会换算成一个高危，例如1个高危，2个中危时，也会发送漏洞推修通知单邮件。

D.漏洞推修邮件是否发送和漏洞的录入时间有关。

9.以下关于漏洞日报错误的是？

A.漏洞日报在工作日下班前会将漏洞情况发到“安全问题响应群”。

B.如果因为不可抗因素不计入漏洞日报，可提不计入风险排名申请。

C.申请不计入风险排名的漏洞无需在上线前完成修复。

D.当前产线负责人和产品安全负责人确认审批同意后，当前产品漏洞便不计入风险排名。

10.产品上线发版的高危漏洞原则上必须多少工作日内修复？

A.1个工作日

B.5个工作日

C.3个工作日

D.7个工作日

11.下列关于带病上线说法错误的是？

A.产品或信息系统带病上线（遗留超危/严重、高危、中危、可利用低危漏洞），必须申请绿色通道。

B.修复计划要求默认不超过1个版本，时间不超过半年。

C.当前产品BG负责人（L2）确认审批同意后，即可带病上线发布。

D.在TR和GA评审时不会检查带病上线申请是否通过。

12.下列关于TR和GA评审说法错误的是？

A.需要测试代表先把安全提测JIRA链接及测试情况填上（已通过安全测试）。

B.TR评审项目中的产品版本和安全测试版本不需要保持一致。

C.如果产品使用的是标品版本，代码无任何变化，可延用标品的提测连接（半年内），必须备注说明情况。

D.如果项目是技术预研类的项目，不需要做安全测试，但请确认并备注情况。

13.关于QAXSRC以下哪项说法错误？

A.接收到的来自内部反馈、白帽子、CNVD、产品众测等渠道所收集到的关于我司产品或业务系统的漏洞。

B.主动职责是监控互联网漏洞情报。

C.接受的漏洞后录入JIRA SRC工单进行漏洞闭环处理。

D.如果内部员工发现产品或系统的漏洞应快速反馈给QAXSRC。

14.以下哪项不属于网络安全部漏洞获取来源？

A.QAXSRC

B.漏洞日报

C.CNVD

D.内部反馈

15.下列关于PSIRT（Product Security Incident Response Team）产品安全事件响应团队以下哪项说法错误？

A.管控范围为对外销售产品，尽可能收敛漏洞缺口，降低在野漏洞造成安全风险。

B.PSIRT安全事件处理大致流程：发现漏洞→研判→解决方案→方案审核→客户侧修复。

C.需要遵从《产品安全事件响应管理办法》处理产品安全事件。

D.安全事件等级为黄色/蓝色时需要走指挥平台流程进行客户侧漏洞修复。

总工办2022年5月安全培训测试题

相关模板