单项选择题 下面对PE文件描述不正确的是（）

判断题 渗透攻击阶段以特定业务系统为目标，找到用户最需要保护的资产，这就需要从一个系统攻入另一个系统，判断系统的作用。

判断题 模糊测试是动态实际执行的，不存在静态分析技术中存在的大量误报问题。

判断题 代码静态分析结果显示和编译结果都没有任何错误，则意味着程序能够没有任何错误地运行。

判断题 软件测试是从攻击者的角度出发发现漏洞并修复，保证软件不被恶意攻击这攻破。

填空题 代码静态分析工具可以分为三类：（）、字节码扫描器和二进制代码分析器。

填空题 模糊测试过程的监视异常过程中，在编写软件时，在需要监视的地方插入检测代码，这是（）

填空题 测试人员事先完全不了解被测试系统的任何信息，真实地模拟外来攻击者攻击被测试系统的行为方式属于（）

单项选择题 在模糊测试方法中，具有可充分发挥自己过去的经验和“直觉”的优点，且常用语Web应用安全测试的方法属于（）

单项选择题 测试系统会不会因为用户权限的改变而造成混乱属于（）

单项选择题 测试软件能够达到预期使用目的的程度属于（）

判断题 密钥的存储需要被保护，最好与数据保存在同一个系统上。

判断题 Java语言层的安全机制是Java安全最基本的要素，它使建立安全系统成为可能，这些机制保证了“沙箱”的可定制性。

填空题 软件安全编码的主要工作有：选择安全的编程语言、（）、代码检测及安全编译。

填空题 算法的密钥长度决定了数据的安全保护强度，从当前的安全保护需求看，一般的商用系统至少应使用（）位AES算法、（）位RSA算法和SHA-256算法。

单项选择题 在CERT安全编码的建议中，以下说法正确的是（）

判断题 配置和执行一个程序应该尽肯能简单和直观，输出应该直接而且有用。这是符合安全机制心理可接受原则。

判断题 基于安全模式的软件安全设计方法过程可以分为浏览模式库、选择相应的安全模式、评估安全模式和建立系统高层架构4个阶段。

填空题 在STRIDE威胁分类中，攻击者能够伪装成另一个用户身份，属于（）

判断题 组织自身的威胁建模能力水平对提升组织的整体安全保障能力作用不大。