中级软件工程师第1期综合考试题-调查问卷模板-问卷网

一、单项选择题（12题每题3分共36分）

以下哪项行为不具备“信息安全意识”？

A. 能初步识别安全问题；

B. 能初步预估安全问题所带来的危害程度；

C. 按照自己理解的方式去处理，不考虑公司的事件处置流程；

D. 能平日里恪守日常安全行为。

以下测试环境场景中，哪项行为是相对安全的？

A. 测试环境与生产环境使用同一个主机访问密钥；

B. 生产环境代码直接拷贝至测试环境进行使用，不检查内容；

C. 测试环境与生产环境使用了同一个DB登录账号密码（口令）；

D. 测试环境与生产环境分别设置访问密钥、访问口令，不存储生产环境敏感数据。

关于敏感信息保护，以下哪项行为相对较无效果？

A. 对交易流水号、交易时间、系统ID号做加密存储处理；

B. 对手机号、身份证号、银行卡号做加密存储处理；

C. 对信用卡有效期、口令-密码、电子邮箱地址做加密存储处理；

D. 对身份证正反面、银行卡正反面、手持身份证、手持银行卡做加密存储处理。

关于软件开发生命周期，哪一个阶段的修复成本最高？

A. 需求中阶段；

B. 研发中阶段；

C. 测试中阶段；

D. 发布后阶段。

以下哪种行为最不符合安全要求？

A. 将公司请假制度PDF文件上传至个人网盘；

B. 将生产代码上传至GitHub，配置文件中还包含了生产帐号、密码口令；

C. 收到不明邮件，随意打开附件；

D. 对于公司信息安全部明令禁止的行为不触犯，对于可能危害公司利益的行为也不做。

关于应用漏洞等级的危害，以下哪一项描述是不恰当的？

A. 严重等级的漏洞，会直接危害到公司核心资产，应尽快评估工期，尽快排期修复；

B. 高等级的漏洞，会直接危害到公司信息资产，应在30天内修复；

C. 中等级的漏洞，会间接危害到公司信息资产，应在60天内修复；

D. 严重等级的漏洞，问题不大，不着急修复，业务优先。

关于开发安全意识，以下哪一项描述是不恰当的？

A. 注册、登录、密码找回、改密场景，应做“前后端校验”和“频率限制”；

B. 滑块、拖拉、算术验证码，安全性较为高于数字、字母验证码；

C. 用户登录账号口令策略至少包括大写、小写、数字、长度≥8位，才较为安全；

D. 用户注册场景，无需验证手机号是否位11位、纯数字、合法号段等信息。

关于开发安全意识，以下哪一项描述是不恰当的？

A. 大额资金，要做双人复核审批；

B. 异常资金，要异常处置及人工介入；

C. 风险资金，要预警、实时拦截；

D. 资金提现最重要的就是要快，满足用户快的需求，安全性可以往后排。

关于开发安全意识，以下哪一项描述是不恰当的？

A. 涉及资金相关密钥，需要遵守敏感信息保护要求，做加密存储；

B. 保护重要的资金转账接口，避免未授权或恶意访问；

C. 资金系统出现了框架漏洞，需要第一时间处理，否则危害范围较大或较深；

D. 资金系统大多在内网，内网相对于外网较为安全，若出现安全漏洞大可不必紧张。

关于开发安全意识，以下哪一项描述是恰当的？

A. APP需满足国家法律法规，应在显眼处提供隐私保护政策，让用户清楚其内容。

B. 生产APP端无需具备防报文篡改功能；

C. 生产APP自身较为安全，无需做APP加固和混淆；

D. 生产APP端可以打开调试功能，便于用户上报问题；

关于编码安全，以下哪一项描述是不恰当的？

A. 不要相信任何输入源传来的数据，应对它做核对、校验、过滤……。

B. 做加密传输、身份认证，有利于提升安全性；

C. 敏感信息、图片敏感信息应做加密存储处理；

D. 生产APP端可以打开调试功能，便于用户发现问题；

关于单一职责原则，以下说法不正确的是？

A. 永远不应该有多于一个原因来改变某个类

B. 一个模块只负责一个职责

C. 按人员划分，自己负责的功能放到一个类里面

D. 不同领域的职责划分到不同的类

关于开闭原则，以下说法不正确的是？

A. 开闭原则要求不能修改现有代码

B. 开闭原则要求对新需求保持扩展

C. 开闭原则通过引入抽象接口，提升现有功能的稳定性

D. 开闭原则要求系统适应新需求的同时，保持系统稳定性、延续性

关于组合复用原则，以下说法不正确的是？

A. 组合方式下，容易破坏父类的封装性

B. 继承是“白箱”复用，父类变更容易影响子类稳定性

C. 继承没有组合方式的结构更灵活

D. 组合可能导致系统类对象过多

二、多项选择题（8题每题5分共40分）

关于敏感信息，以下那几项是正确的？

• A. 手机号、身份证号、银行卡号、信用卡有效期、口令、电子邮箱应加密存储，及脱敏展示；

• B. 身份证正反面、银行卡正反面、手持身份证、手持银行卡、营业执照应加密存储；

• C. 信用卡CVN、CVN2、银行卡密码应加密存储；

• D. 银行卡磁道、指纹应加密存储。

关于开发安全，以下描述恰当的是？

• A. 权限不清晰或不严谨，会导致越权攻击事件发生，造成用户A可越权非法查看用户B的相关信息；

• B. 输入参数未做安全检查或过滤，可能会造成SQL注入攻击事件发生；

• C. 用户页面输出内容未做安全过滤，可能会造成XSS跨站脚本攻击事件发生；

• D. 软件框架漏洞影响较小，先处理业务需求。

以下哪些描述属于研发线制度中所要求的？

• A. 对应用日志输出内容和格式做出了相应要求；

• B. 对敏感数据、图片加密存储做出了相应要求；

• C. 对代码格式规范做出了相应要求；

• D. 对JAR包引用做出了相应要求。

以下哪几项属于强口令？

• A. zhangsan（名字）

• B. zhangsan1998（小写、数字）

• C. ZhangSan1@#996（字母大写、字母小写、数字、特殊字符）

• D. ZhanGSaN^208$#@（字母大写、字母小写、数字、特殊字符）

以下哪些问题会造成资金安全事件发生？

• A. 资金代码存在泄露风险，未满足权限最小化原则；

• B. 资金密钥未加密存储，可被任意用户随意读取；

• C. 资金转账接口未做白名单、验签、鉴权等配置；

• D. 资金管理具备双人审核、异常处理、及时拦截等措施。

关于里氏替换原则，以下说法正确的是？

A. 方法在父类声明、在子类实现

B. 父类通常设计为抽象类或接口类

C. 针对基类编程，运行期才实例化具体子类

D. 定义对象变量尽量使用基类类型

关于依赖倒置原则，以下说法不正确的是？

A. 高层类依赖低层类

B. 抽象依赖于细节

C. 接口依赖于实现该接口的类

D. 服务提供者决定接口

关于接口隔离原则，以下说法正确的是？

A. 接口小而专，不要大而杂

B. 接口按客户角色隔离定制

C. 按照接口提供方的功能列表制定接口，谁实现接口谁拥有接口所有权

D. 接口粒度设计一定程度上有赖于设计者的经验

关于最少知识原则，以下说法正确的是？

A. 各个类尽量直接依赖，不要间接依赖

B. 通过引入中介者、解耦类之间的交互

C. 只与最直接的朋友交流

D. 尽量少引用其它对象

三、判断题（8题每题3分共24分）

安全是产品的一种属性，产品不能完全忽略信息安全。

是

否

在应用安全、编码安全领域中，避免漏洞出现或及时处置漏洞，开发/研发是核心主力。( )

是

否

在软件开发生命周期管理中，漏洞越早处置，成本越低，风险越低。( )

是

否

信息安全仅关注企业信息资产，不关注人。( )

是

否

信息安全与企业持续经营没有太大关系，出现安全问题，企业不会遭受到合规处罚。( )

是

否

按照接口隔离原则，关于类与类之间的依赖性，应该依赖于尽可能小的接口（）

是

否

关于组合复用原则，就是扩展新功能时，优先考虑组合而不是继承方式（）

是

否

高内聚、松耦合是所有设计原则的核心思想（）

是

否

在运用设计原则进行软件设计时，同时要注意对软件系统进行模块化、抽象化、层次化（）

是

否

四、编程题（1题 50分）

量食公司正在研发一个全自动炒菜炖汤机，它能按照步骤完成各种菜品或炖汤。

以下为机器做鱼香肉丝、青椒肉丝和炖排骨玉米汤的过程示例，请参照预设过程合理设计核心逻辑并用代码实现，要求可满足后期快速，灵活的添加新的菜品制作步骤。

鱼香肉丝

1、倒油

2、加入葱姜蒜(配料)

3、加入肉丝、胡萝卜丝、黑木耳丝等(主料)

4、炒

5、勾芡

6、起锅装盘

青椒肉丝

1、倒油

2、加入葱姜蒜(配料)

3、加入肉丝、青椒丝等(主料)

4、炒

5、起锅装盘

排骨玉米汤

1、主料焯水

2、加入排骨(主料)

3、炖

4、加入玉米(配料)

5、炖

6、起锅装盘

请在gitlab个人空间下创建项目，项目中应包含demo代码，以及设计类图。提交时提交项目gitlab地址，并保证项目无访问权限限制。

____________

姓名

____________

中级软件工程师第1期综合考试题

相关模板