2025年信息系统安全专家容器镜像安全扫描与加固专题试卷及解析.pdfVIP

2025年信息系统安全专家容器镜像安全扫描与加固专题试卷及解析1

2025年信息系统安全专家容器镜像安全扫描与加固专题试

卷及解析

2025年信息系统安全专家容器镜像安全扫描与加固专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在容器镜像安全扫描中，以下哪项工具主要用于检测镜像中的已知漏洞？

A、DockerCompose

B、Trivy

C、Kubernetes

D、Jenkins

【答案】B

【解析】正确答案是B。Trivy是一款开源的容器镜像漏洞扫描工具，能够检测镜像

中操作系统和应用程序依赖的已知漏洞。A选项DockerCompose用于定义和运行多容

器Docker应用程序；C选项Kubernetes是容器编排平台；D选项Jenkins是持续集成

工具，均不直接用于漏洞扫描。知识点：容器安全扫描工具。易错点：混淆容器编排工

具与安全扫描工具的功能。

2、以下哪项措施最有效减少容器镜像的攻击面？

A、增加镜像层数

B、使用最小化基础镜像

C、启用镜像自动更新

D、扩大镜像权限

【答案】B

【解析】正确答案是B。使用最小化基础镜像（如Alpine）可以减少不必要的软件

包和依赖，从而降低攻击面。A选项增加镜像层数会扩大攻击面；C选项自动更新可能

引入新漏洞；D选项扩大权限直接增加安全风险。知识点：镜像加固原则。易错点：误

认为更多功能等于更安全。

3、容器镜像签名的主要目的是什么？

A、提高镜像下载速度

B、验证镜像的完整性和来源

C、减少镜像存储空间

D、简化镜像构建流程

【答案】B

【解析】正确答案是B。镜像签名通过加密技术确保镜像未被篡改且来源可信。A、

C、D选项均与签名功能无关。知识点：镜像完整性验证。易错点：混淆签名与镜像优

化的作用。

2025年信息系统安全专家容器镜像安全扫描与加固专题试卷及解析2

4、以下哪项是容器运行时安全的核心关注点？

A、镜像构建速度

B、容器间网络隔离

C、镜像仓库存储容量

D、CI/CD流水线效率

【答案】B

【解析】正确答案是B。容器运行时安全需重点关注网络隔离、权限控制等动态防

护。A、C、D选项属于构建或存储优化范畴。知识点：运行时安全防护。易错点：忽

略运行时与构建时安全的区别。

5、在镜像扫描中，CVSS评分主要用于衡量什么？

A、镜像大小

B、漏洞严重程度

C、构建时间

D、下载次数

【答案】B

【解析】正确答案是B。CVSS（通用漏洞评分系统）是评估漏洞严重性的标准。其

他选项与漏洞评分无关。知识点：漏洞评估标准。易错点：混淆性能指标与安全指标。

6、以下哪项是镜像扫描的最佳实践？

A、仅扫描生产环境镜像

B、在CI/CD流程中集成扫描

C、忽略低危漏洞

D、仅使用商业扫描工具

【答案】B

【解析】正确答案是B。在CI/CD中集成扫描可实现”左移”安全，尽早发现问题。

A选项应覆盖所有环境；C选项需结合业务风险判断；D选项开源工具同样有效。知识

点：DevSecOps实践。易错点：低估开发阶段安全的重要性。

7、容器镜像中的敏感信息泄露风险主要来自？

A、镜像层数过多

B、硬编码密码或密钥

C、基础镜像过旧

D、未使用多阶段构建

【答案】B

【解析】正确答案是B。硬编码敏感信息是常见泄露原因。A、C、D选项影响效率

或漏洞风险，但不直接导致信息泄露。知识点：敏感信息管理。易错点：忽略配置安全

的重要性。

2025年信息系统安全专家容器镜像安全扫描与加固专题试卷及解析3

8、以下哪项技术可实现容器镜像的不可变性？

A、动态挂载卷

B、只读根文件系统

C、可写层