Обеспечение безопасности при разработке программного обеспечения- тест Росдистант — часть 1

290

Внимание! Пожалуйста, указывайте Ваш настоящий Email. В случае утери документа, вы сможете его скачать на почте! Все вопросы в файле совпадают с теми, что представлены у нас на сайте.

Здесь вы можете купить ответы "Обеспечение безопасности при разработке программного обеспечения" ТГУ Росдистант. После покупки вы получите файлы с ответами. Так же вы можете заказать решение тестов "Обеспечение безопасности при разработке программного обеспечения". Для заказа необходимо обратиться к нашим менеджерам. Все контакты указаны на сайте.

Раздел: Росдистант ТГУ- ответы на тесты

• Обеспечение безопасности при разработке программного обеспечения
• Тема 1. Введение в безопасность при разработке программного обеспечения
• Промежуточный тест 1

Какая угроза связана с возможностью чтения данных приложением, к которому нет доступа?

Нарушение конфиденциальности

Нарушение целостности

Отказ в обслуживании

Несанкционированный доступ

Что является ключевой целью при анализе требований к безопасности ПО?

Классификация данных по уровням доступа

Выявление противоречий в требованиях заказчика

Определение атакующей поверхности системы

Сопоставление требований бизнеса и комплаенса

Как называется тип уязвимостей, связанный с некорректной фильтрацией вводимых данных?

Атака типа «отказ в обслуживании»

Межсайтовый скриптинг

Инъекция кода

Подбор пароля

Что из перечисленного не является категорией уязвимостей ПО?

Аутентификация

Межсайтовый скриптинг

DoS

Инъекция кода

Какое действие из перечисленных не относится к этапам SDL?

Обучение

Проектирование

Развертывание

Эксплуатация

Какая практика позволяет обнаружить устаревшие зависимости с уязвимостями?

Статический анализ кода

Сканирование уязвимостей

Анализ зависимостей

Динамический анализ

Какой принцип разработки ПО заключается в минимизации привилегий доступа?

Keep it Simple

Don't Repeat Yourself

Fail Fast

Principle of Least Privilege

Какой способ хранения паролей является наиболее безопасным?

В открытом виде

Хеширование

Шифрование

Хеширование с солью

Укажите последовательность этапов обеспечения безопасности при разработке ПО.
Проектирование безопасности Ответ 1

Мониторинг безопасности Ответ 2

Разработка безопасности Ответ 3

Тестирование безопасности Ответ 4

Обновление безопасности Ответ 5

Какой метод тестирования заключается в имитации атак хакера на систему?

Модульное тестирование

Интеграционное тестирование

Тестирование производительности

Тестирование на проникновение

Как называется методика разработки ПО с акцентом на безопасность на всех этапах?

Agile

Scrum

SDL

DevOps

Что означает термин «размер атакующей поверхности»?

Количество уязвимостей в ПО

Сложность защиты системы

Количество точек доступа для атаки

Размер кодовой базы

Что из перечисленного относится к задачам обеспечения безопасности при разработке ПО?

Защита от вредоносного ПО

Контроль физического доступа

Проверка вводимых данных

Резервное копирование

Какой метод анализа безопасности ПО выполняется во время исполнения кода?

Статический анализ

Динамический анализ

Сканирование уязвимостей

Аудит кода

На каком этапе разработки ПО уязвимости обходятся дешевле всего?

Проектирование

Кодирование

Тестирование

Внедрение

Какой способ может защитить от атак типа «отказ в обслуживании»?

Ввод капчи

Ограничение количества запросов

Проверка длины пароля

Создание резервных копий

Какой тип уязвимостей чаще всего используется при атаках на веб-приложения?

Переполнение буфера

Межсайтовый скриптинг

Грубая силовая атака

Отказ в обслуживании

Какая уязвимость позволяет злоумышленнику выдавать себя за другого пользователя?

SQL-инъекция

Межсайтовый скриптинг

Подбор пароля

Подмена межсайтовых запросов

На каком этапе разработки ПО определяются ключевые требования к безопасности?

Проектирование

Тестирование

Внедрение

Анализ требований

Какой инструмент позволяет проанализировать исходный код на уязвимости?

Сниффер трафика

Сканер уязвимостей

SAST

Антивирус

• Обеспечение безопасности при разработке программного обеспечения
• Тема 2. Безопасное кодирование: основы, стандарты и методы
• Промежуточный тест 2

Какой подход к разработке ПО подразумевает его создание малыми инкрементами?

Agile

Waterfall

Spiral

RAD

Какая конструкция в языках программирования помогает избежать утечек информации?

try/catch

if/else

for/while

using/finally

Как называется техника разделения кода на независимые модули?

Инкапсуляция

Наследование

Полиморфизм

Модульность

Какое средство позволяет проанализировать код на наличие потенциальных уязвимостей?

Файервол

Сканер уязвимостей

SAST

Сетевой сниффер

Установите последовательность процесса анализа и сопоставления требований к безопасности задач на примере проектирования веб-приложения электронной коммерции.
Сбор исходных данных Ответ 1

Формализация требований Ответ 2

Сопоставление требований Ответ 3

Разработка мер безопасности Ответ 4

Какой подход к хранению паролей считается наиболее безопасным?

В открытом виде

Хеширование

Шифрование

Хеширование с солью

Какой механизм используется для предотвращения повторной отправки данных в протоколе TLS?

Хеши

Соли

nonce

Маркеры сессии

Как называется уязвимость, связанная с выполнением произвольного кода на сервере?

DoS

Кросс-сайт скриптинг

Инъекция кода

Подбор пароля

Как называется принцип разработки ПО, предполагающий отсутствие дублирования кода?

KISS

SOLID

DRY

YAGNI

Какое свойство хорошего кода означает, что каждая функция решает строго одну задачу?

Связность

Целостность

Модульность

Атомарность

Какой подход к обработке ошибок считается наиболее надежным с точки зрения ИБ?

Возврат ошибки 500

Вывод сообщения об ошибке

Запись ошибки в лог

Отлов исключения с корректной обработкой

Какие аспекты включает в себя безопасное кодирование?

Использование шаблонов проектирования

Выбор надежных криптоалгоритмов

Валидация входных данных

Игнорирование валидации ввода

Какой механизм шифрования данных обеспечивает конфиденциальность в БД?

SSL

TLS

RBAC

Прозрачное шифрование

Какое свойство безопасного кода позволяет предотвратить большинство уязвимостей?

Простота

Модульность

Надежность

Удобство

Какой стандарт определяет требования к безопасному коду для финансовых приложений?

OWASP

PCI DSS

ISO 27001

NIST

Что из перечисленного является уязвимостью в коде?

Использование непроверенных данных

Отсутствие обработки ошибок

Жестко запрограммированные ключи

Неправильная обработка ошибок

Какой принцип разработки ПО заключается в минимизации доступа к данным и ресурсам?

Keep it Simple

Fail Fast

Don't Repeat Yourself

Principle of Least Privilege

Какой подход к валидации входных данных является наиболее надежным?

На клиенте

На сервере

Комбинированный

Валидация не нужна

Какой механизм помогает защититься от SQL-инъекции?

Валидация входных данных

Хеширование паролей

HTTPS

TLS

Какое кодирование входных данных помогает предотвратить XSS-атаки?

URL-кодирование

Base64

HTML-кодирование

Кодирование UTF-8

• Обеспечение безопасности при разработке программного обеспечения
• Тема 3. Безопасность приложений AppSec
• Промежуточный тест 3

К какой практике безопасного кодирования относится хранение конфиденциальных данных в зашифрованном виде?

Валидация данных

Аутентификация

Шифрование данных

Разграничение доступа

К каким принципам безопасного кодирования относится использование наименьших привилегий?

Валидация данных

Принцип наименьших привилегий

Защита от XSS-атак

Внедрение TLS

К каким уязвимостям может привести отключение фильтрации HTML при выводе данных на страницу?

Инъекции SQL

Кросс-сайтовый скриптинг

Переполнение буфера

Вывод конфиденциальной информации

К какой уязвимости может привести использование устаревших или неподдерживаемых компонентов?

Уязвимости конфигурации баз данных

Уязвимости выполнения произвольного кода

Уязвимости путей логирования

Уязвимости библиотек

К какой уязвимости может привести небезопасная работа с ошибками и исключениями в коде?

Вывод конфиденциальной информации

Выполнение произвольного кода

Переполнение буфера

Нарушение целостности данных

К каким уязвимостям может привести неправильная настройка HTTPS?

Перехват аутентификационных данных

Нарушение конфиденциальности трафика

Уязвимости межсайтовых запросов

Уязвимости валидации данных

К каким инструментам относится сканирование уязвимостей?

Тестирование проникновения

Статический анализ исходного кода

Динамический анализ

Тестирование нагрузки

К каким уязвимостям может привести непроверенный ввод пользовательских данных?

Инъекции

Переполнение буфера

Уязвимости межсайтового скриптинга

Уязвимости кросс-сайтовой подстановки

К каким уязвимостям могут привести ошибки в алгоритмах генерации случайных чисел?

Уязвимости шифрования

Уязвимости аутентификации

Уязвимости генерации ключей

Уязвимости разграничения доступа

К какой практике безопасного кодирования относится использование проверенных библиотек?

Валидация данных

Аутентификация

Защищенное программирование

Шифрование трафика

• Обеспечение безопасности при разработке программного обеспечения
• Тема 4. DevSecOps: Интеграция безопасности в современ-ные методы разработки программного обеспечения
• Промежуточный тест 4

Какую цель преследует сравнение ответов с референтными при DAST?

Определение уязвимостей масштабируемости

Определение семантических ошибок

Выявление изменений поведения

Тестирование производительности

Чему способствует применение DAST на ранних этапах жизненного цикла ПО?

Повышению затрат на тестирование

Замедлению процесса разработки

Сокращению времени исправления ошибок

Ухудшению качества тестирования

К каким источникам данных имеет доступ инструмент DAST?

Исходный код

Реестр известных уязвимостей

HTTP-трафик между клиентом и сервером

База данных приложения

К какому типу тестирования относится DAST?

Статическое тестирование

Динамическое тестирование

Тестирование функциональности

Тестирование производительности

Каким способом DAST проверяет приложение на уязвимости?

Путем анализа исходного кода

Моделированием поведения

Запуском сценариев тестирования

Статическим анализом базы данных

Какая информация собирается о приложении в процессе DAST?

HTTP-трафик

Структура хранения данных

Исходный код

Архитектурная документация

Что позволяет выявить изменение параметров POST-запроса?

CRSF-уязвимости

Переполнение буфера

SQL-инъекции

Оценку структуры базы данных

Какие данные могут содержаться в реестре известных уязвимостей?

Информация об уязвимых компонентах

Описания уязвимостей

Сценарии эксплуатации

Личные данные пользователей

К какой основной цели направлено DAST?

Статический анализ исходного кода

Выявление уязвимостей

Оценка производительности

Анализ архитектуры

Каким образом DAST проверяет приложение на уязвимости?

Путем статического анализа исходного кода

Запуском определенных профилей трафика

Моделированием архитектуры

Динамическим тестированием на основе сценариев

• Обеспечение безопасности при разработке программного обеспечения
• Тема 5. Тестирование безопасности приложений: Методы и инструменты
• Промежуточный тест 5

Какой тип пентестирования предоставляет полный доступ к системе, включая исходный код и документацию?

Черный ящик (Black Box)

Белый ящик (White Box)

Серый ящик (Gray Box)

Пентестирование не предоставляет полного доступа к системе

В чем заключается языковая зависимость инструментов SAST?

Отсутствие совместимости с различными операционными системами

Отсутствие возможности интеграции с CI/CD-пайплайном

Ограничение в наличии инструментов SAST для нишевых языков программирования

Отсутствие поддержки устаревших версий языков программирования

Что включает анализ состава программного обеспечения (SCA)?

Сканирование и обнаружение уязвимостей в системе

Проверку соответствия требованиям клиента перед пентестированием

Управление компонентами с открытым исходным кодом в проекте

Проведение контролируемых атак на систему

Что является важным аспектом проведения пентестирования?

Обновление знаний и навыков пентестера

Проведение пентеста без сотрудничества с командой безопасности

Обязательное получение контроля над системой

Профессиональное развитие разработчиков

Какие функции должен иметь инструмент SAST для защиты жизненного цикла разработки программного обеспечения (SDLC)?

Удобный интерфейс для разработчиков

Возможности быстрого сканирования

Низкий уровень ложных срабатываний

Простая интеграция в конвейер CI/CD

Чем инструменты DAST (динамическое тестирование приложений) отличаются от SAST?

DAST анализирует исходный код приложения, а не его выполнение

DAST обнаруживает только уязвимости, связанные с ошибками в коде

DAST анализирует приложение во время его выполнения, а не исходный код

DAST не может обнаружить уязвимости, связанные с конфигурацией и сетевыми настройками

Какой фактор может привести к отсутствию обнаружения проблемы неочищенного пользовательского ввода инструментом SAST?

Проверка соответствия набору правил и стандартов

Отсутствие интеграции SAST с CI/CD-пайплайном

Отсутствие совместимости между кодом фронтенда и бэкенда

Отсутствие автоматизации процесса анализа кода

Какой тип пентестирования предоставляет минимальную информацию о системе для тестирования?

Черный ящик (Black Box)

Серый ящик (Gray Box)

Белый ящик (White Box)

Не существует минимальной информации для пентестирования

Что представляет собой пентестирование (проникновение)?

Процесс активного исследования системы для выявления уязвимостей

Тестирование системы с целью получения доступа к ее данным

Идентификация и устранение всех уязвимостей в системе

Процесс анализа логов работы приложения

Какова основная цель пентестирования?

Проникнуть в систему и изменить ее данные

Идентифицировать уязвимости в системе

Оценить эффективность существующих механизмов защиты

Провести безопасность тестирования на предмет соответствия требованиям закона

• Обеспечение безопасности при разработке программного обеспечения
• Контрольные мероприятия
• Итоговый тест

Что относится к недостаткам инструментов DAST?

Меньше ложных срабатываний

Не зависит от языка

Нет аналитических сведений о коде

Результаты на поздних этапах конвейера CI/CD

Как называется методика разработки ПО с акцентом на безопасность?

Agile

Waterfall

SDL

DevOps

Как SAST помогает улучшить качество кода?

Обнаруживает потенциально опасные конструкции в коде

Позволяет обнаружить уязвимости только после компиляции приложения

Исправление найденных ошибок не влияет на безопасность и надежность приложения

Уменьшает количество ошибок только на ранних этапах разработки

К каким уязвимостям приводит неверная обработка исключений?

Переполнение памяти

Выдача конфиденциальной информации

Выполнение произвольного кода

Отказ в обслуживании

Какой способ хранения паролей является наименее безопасным?

В открытом виде

Хеширование

Шифрование

Соли

Что называется ложным срабатыванием (ложным результатом) в контексте SAST?

Выявление проблем, соответствующих действительности

Выявление проблем, которые не соответствуют действительности

Неправильное исправление найденных ошибок

Отсутствие ошибок в коде приложения

К какой из категорий угроз можно отнести изменение данных без разрешения пользователя?

Угроза конфиденциальности

Угроза целостности

Угроза доступности

Угроза аутентичности

Какое преимущество предоставляет SAST в области безопасности?

Снижение затрат и усилий при обеспечении безопасности только в поздних стадиях разработки

Раннее обнаружение и исправление проблем стоит гораздо меньше, чем позднее внесение изменений

SAST не помогает обеспечить соблюдение стандартов и требований регуляций

Возможность обнаружения уязвимостей только после выпуска приложения

Какая операционная система по умолчанию имеет больше всего уязвимостей?

Linux

macOS

Windows

Chrome OS

Установите последовательность реализации второго шага проектирования с учетом безопасности для веб-приложения электронной коммерции.

Разработка безопасной архитектуры Ответ 1

Минимизация привилегий Ответ 2

Аутентификация и авторизация Ответ 3

Шифрование данных Ответ 4

Выбор криптографических средств Ответ 5

Какое понятие означает наличие известной уязвимости в системе?

Риск

Атака

Угроза

Вектор атаки

Укажите аббревиатуру, обозначающую динамическое тестирование безопасности приложений.

DAST

SAST

SCA

IAST

Как называется тип атаки, использующий XSS для перехвата сессий пользователей?

clickjacking

Межсайтовая подделка запроса

Атака типа «человек посредине»

Повышение привилегий

Какие меры безопасности следует применять при разработке мобильных приложений для защиты от обратного инжиниринга?

Применение механизмов шифрования для защиты чувствительного кода и данных

Использование методов обфускации и сокрытия кода при сборке приложения

Внедрение механизмов проверки целостности приложения (например, с использованием хеш-сумм)

Публичное раскрытие всех аспектов архитектуры и кода приложения для прозрачности перед пользователями

Какое понятие описывает наличие вредоносного кода внутри полезной программы?

Атака

Вирус

Червь

Троян

Какой тип тестирования направлен на поиск уязвимостей в исходном коде?

Юзабилити-тестирование

Нагрузочное тестирование

Сканирование уязвимостей

Статический анализ кода

Как называется принцип проектирования ПО, гласящий: «Не повторяйся»?

KISS

SOLID

DRY

YAGNI

Какие меры безопасности следует применять при работе с внешними API?

Аутентификация и авторизация при доступе к API

Проверка входных данных на предмет вредоносного содержимого

Ограничение количества запросов и использование ограничений скорости

Опубликование ключей доступа к API в открытом доступе

К какой цели приводит применение DAST на поздних этапах SDLC?

К увеличению времени исправления ошибок

К сокращению затрат на тестирование

К повышению качества тестирования

К ускорению разработки

К какой задаче относится статический анализ исходного кода инструментами SAST?

Исправление ошибок

Выявление уязвимостей

Оценка производительности

Аудит безопасности

Что относится к преимуществам инструментов DAST?

Меньше ложных срабатываний

Не зависит от языка

Быстрое повторное тестирование исправленных уязвимостей

Нет аналитических сведений о коде

Более медленный процесс тестирования

К какому принципу относится минимизация поверхности атаки системы?

Разделение прав

Валидация данных

Управление исключениями

Минимизация поверхности атаки

К какой уязвимости может привести использование устаревших алгоритмов хеширования паролей?

Угадывание хешей паролей

Кросс-сайтовый скриптинг

Инъекция SQL

Перехват сессий

К каким уязвимостям может привести неправильная обработка исключений?

Переполнение памяти

Выдача конфиденциальной информации

Выполнение произвольного кода

Отказ в обслуживании

Как называется процесс поиска уязвимостей путем имитации действий хакера?

Сканирование уязвимостей

Тестирование на проникновение

Статический анализ

Динамический анализ

К какой цели относится разработка безопасного ПО комплексным подходом?

Минимизация затрат

Сокращение сроков

Повышение уровня защиты

Упрощение процесса

Какие меры безопасности помогают предотвратить атаки NAC?
Выберите один или несколько ответов:

Установка и настройка сетевых экранов и межсетевых экранов для контроля доступа и инспекции трафика

Использование механизмов аутентификации и авторизации для контроля доступа к сети

Регулярное обновление и патчинг сетевого оборудования для закрытия известных уязвимостей

Отсутствие мониторинга и анализа сетевого трафика

Какую цель имеет пост-эксплуатационная фаза пентестирования?

Поддержание доступа к системе и документирование результатов

Оценка уровня безопасности системы

Обнаружение и устранение уязвимостей

Выявление потенциальных угроз для системы

К какой уязвимости может привести передача слишком большого объема данных в URL?

Перехват сессий

Переполнение буфера

Кросс-сайтовый скриптинг

Выполнение произвольного кода

К каким уязвимостям может привести неправильная обработка ошибок и исключений?

Переполнение памяти

Выдача конфиденциальной информации

Выполнение произвольного кода

Отказ в обслуживании

К какому инструменту относится проверка конфигурации, настроек безопасности и данных при запуске приложения?

Линтер кода

Сканирование уязвимостей

Проверка конфигурации

Трассировка потока

Какой элемент HTTP-трафика модифицируется при проверке на SQL-инъекции?

Заголовки

URL-параметры

Тело запроса

Куки

К какой из категорий угроз относится отказ в обслуживании при взломе сайта хакерами?

Угроза конфиденциальности

Угроза целостности

Угроза доступности

Угроза аутентичности

К какой цели относится криптографическая защита данных?

Доступность

Целостность

Конфиденциальность

Аутентичность

Что является первым шагом в методологии пентестирования?

Получение доступа к системе

Сбор информации о целевой системе

Проведение контролируемых атак

Подготовление отчета по пентесту

Какой этап обеспечения безопасности включает разработку безопасных архитектурных решений?

Анализ требований

Тестирование безопасности

Разработка безопасных архитектурных решений

Мониторинг и поддержка

Какой метод шифрования использует один ключ для шифрования и дешифрования?

Шифрование с симметричным ключом

Шифрование с закрытым ключом

Шифрование с открытым ключом

Квантовое шифрование

К какому инструменту относится тестирование нагрузки для выявления уязвимостей масштабируемости?

Статический анализ

Линтер кода

Тестирование нагрузки

Сканирование уязвимостей

К какой уязвимости может привести отсутствие проверки на переполнение при работе со строками?

Переполнение буфера

Кросс-сайтовый скриптинг

Выполнение произвольного кода

Перехват аутентификационных данных

Какими методами осуществляется модификация HTTP-трафика в DAST?

Изменение URL-параметров

Изменение тела запросов

Добавление нестандартных заголовков

Использование защищенных прокси-серверов для фильтрации трафика и блокирования вредоносных запросов

Нужна помощь с тестами? Обращайтесь к нашим менеджерам

Отзывы

Отзывов пока нет.

Будьте первым, кто оставил отзыв на “Обеспечение безопасности при разработке программного обеспечения- тест Росдистант — часть 1”

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Оплата принимается посредствам онлайн кассы «Robokassa» — укажите реквизиты карты или воспользуйтесь оплатой по «СБП».
После оплаты система, направит Вас на страницу с товаром, где вы сможете его скачать на своё устройство.
Если по какой- то причине вы закрыли страницу или не скачали товар, то всегда сможете найти и скачать его на почте.
Указывайте настоящий Email — при утере документа вы сможете скачать его из письма.
При возникновении трудностей с оплатой или получением товара обращайтесь к нашим менеджерам. Все контакты указаны на сайте, можете выбрать любой удобный.

Похожие товары

Просмотренные товары

VK MAX Telegram WhatsApp
Отправьте нам сообщение