2025上半年軟考軟件評測師練習(xí)題含答案(網(wǎng)友回憶版)1.單項選擇題（每題1分，共50分）1.1在GB/T25000.512016中，將軟件產(chǎn)品質(zhì)量模型劃分為8個特性，其中“容錯性”隸屬于A.功能性?B.可靠性?C.易用性?D.維護(hù)性答案：B1.2某模塊圈復(fù)雜度V(G)=18，按照McCabe建議，該模塊應(yīng)至少設(shè)計多少條單元測試用例？A.18?B.19?C.20?D.無需額外答案：A1.3某Web系統(tǒng)采用JWT進(jìn)行會話管理，測試人員通過BurpSuite截獲令牌后修改payload中role字段由user→admin并重新發(fā)送，系統(tǒng)仍返回403。最可能的原因是A.令牌未設(shè)置exp?B.簽名算法被暴力破解?C.服務(wù)端采用RSA256公鑰驗簽?D.令牌存儲在Cookie未設(shè)HttpOnly答案：C1.4在基于風(fēng)險的測試中，若風(fēng)險值=發(fā)生概率×影響度，下列哪組風(fēng)險值排序正確？A.R1(0.9×8)=7.2?R2(0.5×9)=4.5?R3(0.2×10)=2?B.R1>R3>R2?C.R2>R1>R3?D.R3>R1>R2答案：A1.5某性能測試腳本使用LR的web_custom_request，參數(shù)化文件user.dat有10萬行，迭代次數(shù)設(shè)為5，日志采用“僅錯誤日志”，Controller中并發(fā)用戶100，忽略ThinkTime，則每臺負(fù)載機最少需要多少內(nèi)存才能保證不溢出？A.2GB?B.4GB?C.8GB?D.與迭代次數(shù)無關(guān)答案：B1.6在ISO/IEC27034中，應(yīng)用安全控制目標(biāo)CO1.2是指A.安全需求獲取?B.安全設(shè)計審查?C.安全編碼規(guī)范?D.安全運維監(jiān)控答案：A1.7某C程序段：inta[5],i;for(i=0;i<=5;i++)a[i]=0;靜態(tài)分析工具報“bufferoverflow”，該缺陷在CWE中對應(yīng)A.CWE120?B.CWE190?C.CWE22?D.CWE78答案：A1.8采用等價類劃分法測試“月份”輸入項，有效等價類為112，則無效等價類最少應(yīng)劃分A.1個?B.2個?C.3個?D.4個答案：C1.9某系統(tǒng)要求RPO≤15min、RTO≤30min，災(zāi)備演練時測得RPO=10min、RTO=25min，則A.僅RPO滿足?B.僅RTO滿足?C.均滿足?D.均不滿足答案：C1.10在ISTQB術(shù)語中，導(dǎo)致軟件運行于非預(yù)期方式的任何條件稱為A.錯誤?B.缺陷?C.故障?D.失效答案：B1.11某移動App采用OkHttp3，測試發(fā)現(xiàn)HTTPS流量可被Fiddler解密，其根本原因是A.證書鏈不完整?B.客戶端未校驗主機名?C.服務(wù)端使用自簽證書?D.客戶端信任用戶證書答案：D1.12下列哪項不是判定語句覆蓋100%的充分條件？A.每個可執(zhí)行語句至少執(zhí)行一次?B.每個判定的真假分支至少執(zhí)行一次?C.每個判定的所有條件取值至少執(zhí)行一次?D.每個判定的每個條件對結(jié)果獨立影響答案：D1.13在GB/T162602006中，“易改變性”屬于A.功能性?B.可靠性?C.維護(hù)性?D.可移植性答案：C1.14某接口文檔定義字段age為uint8，取值0200。邊界值法應(yīng)選A.0,1,127,128,199,200?B.0,1,127,128,255?C.1,0,200,201?D.0,200答案：A1.15使用JMeter進(jìn)行壓力測試，聚合報告出現(xiàn)99%響應(yīng)時間遠(yuǎn)大于90%響應(yīng)時間，最可能A.網(wǎng)絡(luò)抖動?B.線程死鎖?C.JVMFullGC?D.測試機CPU瓶頸答案：C1.16某系統(tǒng)采用SpringBoot，測試環(huán)境啟動耗時8s，生產(chǎn)環(huán)境啟動耗時120s，差異最大影響因素是A.日志級別?B.數(shù)據(jù)庫連接池大小?C.類路徑掃描?D.磁盤I/O答案：C1.17在灰盒測試中，測試人員主要依據(jù)A.需求規(guī)格說明書?B.源代碼?C.可執(zhí)行文件?D.設(shè)計文檔+部分源碼答案：D1.18下列哪項屬于靜態(tài)測試技術(shù)？A.符號執(zhí)行?B.模糊測試?C.變異測試?D.滲透測試答案：A1.19某嵌入式軟件需通過MISRAC2012合規(guī)檢查，規(guī)則21.3禁止A.使用malloc?B.使用遞歸?C.使用goto?D.使用unions答案：A1.20在DevOps流水線中，SonarQube掃描結(jié)果“CodeSmell”等級為A.BLOCKER?B.CRITICAL?C.MAJOR?D.INFO答案：C1.21某云原生應(yīng)用使用Kubernetes，Pod重啟策略為OnFailure，重啟次數(shù)上限5，現(xiàn)測得重啟6次，則Pod狀態(tài)為A.Running?B.CrashLoopBackOff?C.Pending?D.Succeeded答案：B1.22在GB/T386342020中，安全測試過程第1階段是A.安全測試策劃?B.安全測試設(shè)計?C.安全測試實現(xiàn)?D.安全測試執(zhí)行答案：A1.23某API返回JSON含字段price:14.678，需求保留2位小數(shù)，測試發(fā)現(xiàn)返回14.68，該缺陷屬于A.精度錯誤?B.舍入錯誤?C.截斷錯誤?D.格式錯誤答案：B1.24使用Python+Requests編寫接口自動化，斷言assertres.json()['code']==200，屬于A.協(xié)議層斷言?B.業(yè)務(wù)層斷言?C.數(shù)據(jù)層斷言?D.UI層斷言答案：B1.25某系統(tǒng)數(shù)據(jù)庫采用MySQL8.0，默認(rèn)隔離級別為A.READUNCOMMITTED?B.READCOMMITTED?C.REPEATABLEREAD?D.SERIALIZABLE答案：C1.26在ISTQB測試設(shè)計技術(shù)中，狀態(tài)轉(zhuǎn)移測試適用于A.業(yè)務(wù)規(guī)則復(fù)雜?B.輸入域巨大?C.系統(tǒng)行為與歷史相關(guān)?D.計算密集型答案：C1.27某APP隱私合規(guī)檢測發(fā)現(xiàn)，后臺運行時每30s讀取一次GPS，違反A.最小必要原則?B.明示同意原則?C.用戶可控原則?D.數(shù)據(jù)安全原則答案：A1.28在LR中，將關(guān)聯(lián)函數(shù)web_reg_save_param_ex放在A.請求之后?B.請求之前?C.事務(wù)開始之后?D.事務(wù)結(jié)束之前答案：B1.29某系統(tǒng)采用Nginx+Tomcat集群，測試發(fā)現(xiàn)Session丟失，最簡解決方案A.開啟StickySession?B.使用Redis共享Session?C.改用JWT?D.提升Tomcat內(nèi)存答案：B1.30在GB/T297652021中，數(shù)據(jù)脫敏效果評估指標(biāo)“可逆率”要求A.≤1%?B.≤0.1%?C.≤5%?D.無要求答案：A1.31下列哪項不屬于性能測試指標(biāo)？A.TPS?B.并發(fā)數(shù)?C.路徑覆蓋率?D.90%響應(yīng)時間答案：C1.32某C程序使用strcpy(dest,src)，靜態(tài)分析報CWE120，修復(fù)建議A.改用strncpy(dest,src,sizeof(dest))?B.改用strcpy_s(dest,sizeof(dest),src)?C.增加if(strlen(src)<sizeof(dest))?D.改用memcpy答案：B1.33在模型檢測工具UPPAAL中，系統(tǒng)建模采用A.有限狀態(tài)機+時間自動機?B.Petri網(wǎng)?C.馬爾可夫鏈?D.數(shù)據(jù)流圖答案：A1.34某金融APP要求密碼長度820，必須含大小寫字母、數(shù)字、特殊字符，下列哪個正則正確？A.^(?=.[az])(?=.[AZ])(?=.\d)(?=.[@$!%?&])[AZaz\d@$!%?&]{8,20}$?B.^[azAZ09@$!%?&]{8,20}$?C.^[AZ][az][09][@$!%?&]{8,20}$?D.^(?=.[azAZ])(?=.\d).{8,20}$答案：A1.35在持續(xù)集成中，單元測試覆蓋率門檻通常設(shè)為A.60%?B.80%?C.100%?D.無統(tǒng)一要求答案：B1.36某系統(tǒng)上線后出現(xiàn)“周一早晨”性能驟降，最可能A.連接池未回收?B.緩存冷啟動?C.日志切割?D.定時任務(wù)答案：B1.37在威脅建模STRIDE中，Repudiation指A.否認(rèn)?B.篡改?C.信息泄露?D.拒絕服務(wù)答案：A1.38某接口冪等鍵設(shè)計為userId+orderDate，測試發(fā)現(xiàn)同一用戶同一天可重復(fù)下單，缺陷原因是A.精度不足?B.并發(fā)沖突?C.鍵值重復(fù)?D.日期格式錯誤答案：A1.39在GB/T25000.232019中，質(zhì)量測度元素分為A.內(nèi)部、外部、使用質(zhì)量?B.功能、性能、安全?C.過程、產(chǎn)品、資源?D.系統(tǒng)、軟件、數(shù)據(jù)答案：A1.40某云函數(shù)AWSLambda內(nèi)存設(shè)置為512MB，執(zhí)行時間測得800ms，按1ms計費，則費用計算依據(jù)A.512MB×800ms?B.512MB×1s?C.1GB×800ms?D.1GB×1s答案：A1.41在Android逆向中，APK簽名校驗在A.AndroidManifest.xml?B.classes.dex?C.METAINF/.RSA?D.resources.arsc答案：C1.42某系統(tǒng)采用Kafka，測試發(fā)現(xiàn)消費延遲隨分區(qū)數(shù)增加而增大，根因A.分區(qū)數(shù)>消費者數(shù)?B.消費者數(shù)>分區(qū)數(shù)?C.消息體過大?D.網(wǎng)絡(luò)帶寬答案：A1.43在GB/T222392019中，三級系統(tǒng)要求安全運維管理周期A.每月?B.每季度?C.每半年?D.每年答案：B1.44下列哪項不是LR的IP欺騙前提？A.負(fù)載機啟用多網(wǎng)卡?B.交換機允許IP綁定?C.關(guān)閉IPSpoofing檢測?D.啟用DHCP答案：D1.45某系統(tǒng)采用Redis分布式鎖，setkeyuuidnxex30，業(yè)務(wù)執(zhí)行15s，為避免誤刪，釋放鎖時應(yīng)A.直接del?B.先get比對uuid再del?C.使用Lua腳本比對后del?D.延長過期時間答案：C1.46在ISTQB中，測試方針(TestPolicy)由誰批準(zhǔn)？A.測試經(jīng)理?B.項目經(jīng)理?C.高級管理層?D.質(zhì)量經(jīng)理答案：C1.47某接口分頁參數(shù)limit最大100，測試發(fā)現(xiàn)limit=101仍返回200條，缺陷類型A.邊界繞過?B.SQL注入?C.權(quán)限繞過?D.邏輯錯誤答案：A1.48在Docker安全掃描中，CVE202144228對應(yīng)A.Log4j?B.HeartBleed?C.ShellShock?D.Struts2答案：A1.49某系統(tǒng)采用OAuth2，授權(quán)碼模式，測試發(fā)現(xiàn)code重用有效，違反A.RFC6749?B.RFC6750?C.RFC6819?D.RFC7519答案：A1.50在測試總結(jié)報告中，不包括A.測試范圍?B.缺陷統(tǒng)計?C.風(fēng)險建議?D.詳細(xì)測試用例步驟答案：D2.判斷題（每題1分，共10分）2.1在MISRAC中，所有代碼必須滿足100%語句覆蓋方可發(fā)布。答案：錯誤2.2使用HTTPS就能完全避免中間人攻擊。答案：錯誤2.3在LR中，事務(wù)的Pass/Fail只能通過lr_end_transaction顯式設(shè)置。答案：錯誤2.4在等價類劃分中，一個無效等價類必須單獨設(shè)計一條用例。答案：錯誤2.5在Kubernetes中，Readiness探針失敗會導(dǎo)致Pod重啟。答案：錯誤2.6在Android中，targetSdkVersion越高，權(quán)限控制越嚴(yán)格。答案：正確2.7在MySQL中，索引列使用函數(shù)會導(dǎo)致索引失效。答案：正確2.8在威脅建模中，DFD的“信任邊界”用虛線表示。答案：正確2.9在Postman中，Environment變量優(yōu)先級高于Global變量。答案：正確2.10在GB/T25000.51中，功能性測試屬于適應(yīng)性測試。答案：錯誤3.簡答題（每題10分，共30分）3.1描述一次完整的API安全測試流程，并給出關(guān)鍵檢查點。答案：(1)需求分析：收集OpenAPI文檔、鑒權(quán)方式、敏感數(shù)據(jù)分級。(2)威脅建模：采用STRIDE識別Spoofing、Tampering、Repudiation、InfoDisclosure、DoS、EOP。(3)用例設(shè)計：覆蓋認(rèn)證繞過、越權(quán)、輸入校驗、重放、速率限制、JWT弱密鑰、OAuth2scope、CORS、XXE、SSRF。(4)工具準(zhǔn)備：Postman+Newman、Burp、OWASPZAP、Nmap、jwt_tool、arjun。(5)執(zhí)行：自動化+手工，重點測試橫向越權(quán)（同級用戶數(shù)據(jù)互訪）、縱向越權(quán)（低權(quán)升權(quán)）、IDOR、批量分配、HTTP方法濫用。(6)漏洞驗證：提供POC，確認(rèn)可利用性。(7)復(fù)測與回歸：修復(fù)后重新掃描+滲透。(8)按CVSS3.1評分，給出修復(fù)建議（如添加權(quán)限注解@PreAuthorize、統(tǒng)一異常處理、啟用RFC7807錯誤響應(yīng)）。3.2給出性能測試中定位“CPU瓶頸”的五種方法，并說明優(yōu)缺點。答案：(1)top/htop：實時查看進(jìn)程CPU，優(yōu)點簡單，缺點無法定位代碼行。(2)perf：采樣調(diào)用棧，優(yōu)點內(nèi)核級、低開銷，缺點需root，輸出量大。(3)JProfiler：圖形化展示HotSpot，優(yōu)點直觀，缺點商業(yè)、消耗資源。(4)Arthastrace：動態(tài)追蹤Java方法，優(yōu)點無需重啟，缺點僅Java。(5)eBPF+FlameGraph：生成火焰圖，優(yōu)點精準(zhǔn)到函數(shù)、安全可編程，缺點學(xué)習(xí)曲線高。綜合：先用top確認(rèn)進(jìn)程→perf采樣→火焰圖定位熱點→Arthas反編譯驗證→優(yōu)化代碼或算法。3.3說明如何利用“變異測試”提升單元測試質(zhì)量，并給出Python示例。答案：步驟：(1)安裝mutpy：pipinstallmutpy。(2)源碼math_utils.py含函數(shù)defadd(a,b):returna+b。(3)編寫測試test_add.py：assertadd(2,3)==5。(4)運行mutpytargetmath_utilsunittesttest_addm。(5)工具生成變異體：將+改為、、/等，共6個。(6)若測試殺死4個，存活2個，則變異得分=4/6=66%。(7)補充用例：assertadd(1,1)==0，殺死剩余變異體，得分100%。價值：驗證測試用例有效性，防止“偽高覆蓋”。4.綜合應(yīng)用題（共60分）4.1（20分）某電商秒殺場景，商品庫存100件，預(yù)期并發(fā)5萬，要求TPS≥8000，RT≤500ms，成功率≥99.9%。請給出測試方案（含模型、數(shù)據(jù)、腳本、監(jiān)控、通過標(biāo)準(zhǔn)）。答案：模型：采用Grafana+k6，基于真實流量回放，引入令牌桶限流。數(shù)據(jù)：預(yù)熱緩存100件庫存，用戶數(shù)據(jù)5萬條，啟用參數(shù)化+唯一約束。腳本：階段1：030s爬升到5000VU，限制RPS8000；階段2：30120s維持8000RPS；階段3：120150s梯度下降。監(jiān)控：應(yīng)用：Prometheus采集JVM、線程池、Redis連接；中間件：Kafkalag、MySQLQPS/TPS、鎖等待；資源：容器CPU、內(nèi)存、網(wǎng)絡(luò)包重傳。通過標(biāo)準(zhǔn)：TPS≥8000且波動<5%；平均RT≤500ms，P99≤800ms；成功率≥99.9%；無庫存超賣（對賬100=100）；CPU≤70%，內(nèi)存≤80%，無FullGC。結(jié)果：實測TPS峰值8200，平均RT420ms，P99760ms，成功率99.95%，庫存正確，測試通過。4.2（20分）給出一段存在SQL注入的Java代碼，要求：(1)指出漏洞位置；(2)給出靜態(tài)掃描報告截圖要點；(3)給出修復(fù)代碼；(4)給出JUnit+Testcontainers自動化回歸用例。答案：(1)代碼：Stringsql="selectfromuserwhereid="+req.getParameter("id");漏洞：拼接用戶輸入，未過濾。(2)掃描要點：CWE89，Sink：executeQuery，Source：getParameter，TaintFlow：id→sql。(3)修復(fù)：Stringsql="selectfromuserwhereid=?";PreparedStatementps=conn.prepareStatement(sql);ps.setInt(1,Integer.parseInt(req.getParameter("id")));(4)回歸：@TestvoidshouldRejectSqlInjection(){try(MySQLContainer<?>mysql=newMySQLContainer<>("mysql:8").withInitScript("init.sql");Connectionc=DriverManager.getConnection(mysql.getJdbcUrl(),mysql.getUsername(),mysql.getPassword())){Stringattack="1or1=1";PreparedStatementps=c.prepareStatement("selectfromuserwhereid=?");ps.setString(1,attack);ResultSetrs=ps.execute