「程式開發安全管理 S-SDLC」課程評量

課程日期：109年02月14日			時　　間：10:00 - 12:00
課程名稱：S-SDLC Training			課程地點：
授課講師：
	一、單位：　　　　　　姓名：　　　　　　分數：
一、選擇題 （1） 1.     SSDLC階段，以下何者為非？ 1.  安全開發委外。 2.  安全軟體測試。 3.  安全軟體設計。 4.  安全需求確認。 （4） 2.     軟體安全特性，以下何者為是？ 1.  完整性 2.  身份認證 3.  會話管理 4.  以上皆是 （4） 3.     軟體安全特性發展策略考量的因素，以下何者為非？ 1.  常見資安威脅 2.  常見系統弱點 3.  組織安全目標 4.  使用者體驗 （1） 4.     威脅建模過程（Threat Modeling Process），以下何者為非？ 1.  威脅情資分享 2.  識別威脅 3.  威脅緩解 4.  評估威脅 （4） 5.     以下何者是常見的OWASP Top10攻擊手法? 1.  注入攻擊 (Injection) 2.  跨站腳本攻擊 (XSS) 3.  不安全的反序列化風險(Java) 4. 以上皆是。 （1） 6.     進行網站管理時，密碼強度應符合複雜性原則。下列哪一組密碼相對上不是弱密碼? 1.  ApKr!2#4% 2.  Apkr12345 3.  TJKLKPKGTR 4.  erpowepowerisgood。 （1） 7.     當發現專案內程式碼出現漏洞時，應儘速進行應變更正，下列作法何者為非? 1.  繼續開發工作，等安全軟體測試階段被檢出再修正 2.  盡快通報PM 3.  設置修正作為，並紀錄處理過程 4.  運用源碼檢測工具確認問題 （4） 8.     有關常見駭客密碼破解手法，以下何者為是? 1.  暴力攻擊 2.  字典攻擊 3.  運用其他地方外洩密碼進行猜測攻擊 4.  以上皆是。
	（2）	9.     有關於系統弱點掃瞄，下列何者為非 ? 1. 弱點掃瞄一般分初掃與複掃，以利追蹤弱點是否已修正 2. 掃瞄前不需確認程式與特徵碼是否已更新 3. 遇程式更版、重大資安事件、配合定期稽核時需實施弱點掃瞄 4. 掃瞄頻率原則上每半年需要掃描一次。
	（4）	10.   如何避免駭客利用已知弱點的元件進行攻擊 ? 1.  識別整理專案中所有使用到的元件，底層軟體及其版本資訊，並建立清單管制 2.  定期維護該清單並確保正確性 3.  使用外部元件或軟體，注意其安全通告並且評估更新 4.  以上皆是

[歡迎轉載, 只要註明出處就好]