調查局三等申論題
112年
[資訊科學組] 系統分析與設計
第 一 題
📖 題組:
貴公司正在準備針對某個政府標案進行投標,該標案要求專案的進行必須採用所謂的安全軟體發展生命週期(SSDLC)來進行開發。 (一)請問為什麼客戶會要求採用 SSDLC 而非傳統的 SDLC 進行該系統的開發?(10 分) (二)請說明 SSDLC 在需求分析、系統設計…等各個 SDLC 階段,如何將安全性納入這些軟體的開發中?(15 分)
貴公司正在準備針對某個政府標案進行投標,該標案要求專案的進行必須採用所謂的安全軟體發展生命週期(SSDLC)來進行開發。 (一)請問為什麼客戶會要求採用 SSDLC 而非傳統的 SDLC 進行該系統的開發?(10 分) (二)請說明 SSDLC 在需求分析、系統設計…等各個 SDLC 階段,如何將安全性納入這些軟體的開發中?(15 分)
📝 此題為申論題,共 2 小題
小題 (一)
請問為什麼客戶會要求採用 SSDLC 而非傳統的 SDLC 進行該系統的開發?(10 分)
思路引導 VIP
看到這題應先從「資安左移(Shift Left)」及「Security by Design」的核心理念切入,對比傳統 SDLC 往往在後期才做測試的「事後補救」缺陷。作答時建議從「風險管控」、「修復成本」與「政府合規性」三個維度論述,並利用表格比較傳統 SDLC 與 SSDLC 的差異,以展現專業度與結構化思維。
小題 (二)
請說明 SSDLC 在需求分析、系統設計…等各個 SDLC 階段,如何將安全性納入這些軟體的開發中?(15 分)
思路引導 VIP
本題測驗考生對 SSDLC (Secure SDLC) 各階段具體實務的掌握度。解題時應以傳統 SDLC 階段(需求、設計、開發、測試、維運)為主軸,逐一對應並填入該階段專屬的「資安活動」(如:威脅建模、安全編碼、SAST/DAST),並輔以具體技術名詞與實例,展現實務架構能力。