2025年信息系统安全专家基础设施即代码的漏洞扫描与管理专题试卷及解析1
2025年信息系统安全专家基础设施即代码的漏洞扫描与管
理专题试卷及解析
2025年信息系统安全专家基础设施即代码的漏洞扫描与管理专题试卷及解析
第一部分:单项选择题(共10题,每题2分)
1、在基础设施即代码(IaC)中,以下哪种工具主要用于检测Terraform配置中的
安全漏洞?
A、Ansible
B、Terraform
C、Checkov
D、Docker
【答案】C
【解析】正确答案是C。Checkov是专门用于静态分析IaC配置(如Terraform、
CloudFormation等)的安全工具,能够检测配置中的安全漏洞和合规性问题。Ansible
是自动化配置工具,Terraform是IaC编排工具,Docker是容器化技术,均不具备专门
的漏洞扫描功能。知识点:IaC安全扫描工具。易错点:混淆IaC工具与安全扫描工具
的功能。
2、以下哪项是IaC漏洞扫描的典型目标?
A、运行时应用程序漏洞
B、网络流量异常
C、配置文件中的安全错误
D、用户行为分析
【答案】C
【解析】正确答案是C。IaC漏洞扫描主要针对配置文件(如Terraform的.tf文件)
中的安全错误,如开放端口、弱加密策略等。运行时应用程序漏洞属于动态扫描范畴,
网络流量异常和用户行为分析属于运维监控领域。知识点:IaC漏洞扫描范围。易错点:
将IaC扫描与运行时安全混淆。
3、在IaC安全实践中,“左移”(ShiftLeft)原则指的是?
A、将安全测试推迟到部署后
B、在开发早期阶段集成安全检查
C、仅依赖生产环境监控
D、减少安全工具的使用
【答案】B
【解析】正确答案是B。“左移”原则强调在开发早期阶段(如代码编写阶段)集成安
全检查,而非等到部署后。其他选项均与”左移”原则相悖。知识点:DevSecOps核心理
2025年信息系统安全专家基础设施即代码的漏洞扫描与管理专题试卷及解析2
念。易错点:误解”左移”为减少安全投入。
4、以下哪种IaC漏洞可能导致云存储桶公开访问?
A、未启用加密
B、缺少访问控制列表(ACL)限制
C、未配置日志记录
D、使用默认标签
【答案】B
【解析】正确答案是B。缺少ACL限制会直接导致存储桶公开访问,而未启用加
密和未配置日志记录属于其他安全问题,使用默认标签通常不直接导致公开访问。知识
点:云存储安全配置。易错点:忽略ACL在访问控制中的关键作用。
5、Checkov工具支持以下哪种IaC框架?
A、仅Terraform
B、仅CloudFormation
C、Terraform和CloudFormation
D、仅KubernetesYAML
【答案】C
【解析】正确答案是C。Checkov支持多种IaC框架,包括Terraform、CloudFor-
mation、KubernetesYAML等,并非仅支持单一框架。知识点:Checkov工具兼容性。
易错点:误以为Checkov仅支持Terraform。
6、在IaC漏洞管理中,“修复优先级”通常基于?
A、漏洞发现时间
B、漏洞严重性和业务影响
C、工具扫描速度
D、配置文件大小
【答案】B
【解析】正确答案是B。修复优先级主要依据漏洞严重性(如CVSS评分)和业务
影响(如是否涉及敏感数据),而非发现时间或工具性能。知识点:漏洞管理优先级排
序。易错点:忽略业务影响的重要性。
7、以下哪项是IaC漏洞扫描的局限性?
A、无法检测配置错误
B、无法覆盖运行时漏洞
C、仅支持云环境
D、需要人工干预
【答案】B
2025年信息系统安全专家基础设施即代码的漏洞扫描与管理专题试卷及解析