2020.11.18域6错题分析

61.Lauren的团队对发布的每个修补程序进行回归测试。他们应该保持什么关键绩效衡量标准来衡量测试的有效性？

A:
修复漏洞的时间
回答错误

B:
缺陷复发率的度量
正确答案

C:
加权风险趋势

D:
测试的具体覆盖范围的度量

```解析：
这题错是没把握关键点，以为是考察KPI的内容，结果是考察我回归测试应该更注重什么测试的内容来证明回归测试具有有效性。
回归测试是为了证明应用程序打补丁或者更新版本之后没有重大缺陷。选项中唯一能证明回归测试有效性的就是B选项。
修复漏洞的时间度量应该在于响应安全事件中的关键绩效中衡量使用，C选项应该是评判风险指标的内容。
D选项应该指的是测试覆盖率。测试覆盖率=已测用例/全部用例

65.作为代码覆盖率测试的一部分，Susan的团队使用日志记录和跟踪工具在非生产环境中运行分析。在测试过程中，由于运行环境的变化，以下哪种类型的代码问题最有可能被忽略？

A:
不适当的边界检查
回答错误

B:
输入验证

C:
竞争条件
正确答案

D:
指针操作

```解析：
这题答错是我不清楚竞争条件什么情况下能被避免，什么情况下不能被避免。
竞争条件：是多个线程对同时访问代码，变量，数据，没有进行同步操作的场景中。竞争条件是基于时间的检测。就像数据库的安全事务同时访问事务，会引起事务的不确定修改性。
不适当的边界检查能够检查缓冲区溢出，审查数据是否在符合范围内，没有覆盖超出范围的数据。

79.Ben的开发团队需要解决授权问题，用以应对导致特权威胁的增加。以下哪种控件最适合此类问题？

A:
启用审核和日志记录。
回答错误

B:
基于角色的访问控制用于特定操作。
正确答案

C:
启用数据类型和格式检查。

D:
根据白名单检查用户输入。

```解析：
A选项审核还有日志记录能够检查出过度特权的用户，但是题目说要预防特权用户的增加，A选项不具备这个特点。
基于角色的访问控制RBAC：基于角色来分配组成员，易于同一管理，并且能够防止过度特权，在人员过多轮换的场景中适用。
C选项检查数据类型和格式输入是为了防止一些攻击的操作，或者是安全控制要求
D白名单检查用户输入，是为了防止黑客窃取了白名单用户的权限来执行非授权操作。