3.Gery McGraw 博士及其合作者提出 BSI 软件安全应由三根支柱来支撑。这三个支柱是

好的！让我们一起来理解这道题。 ### 题目背景： Gery McGraw 博士和他的团队提出了一个关于 **BSI (Building Security In)** 的框架，旨在提高软件的安全性。他们认为这个框架应该由三个主要支柱构成。 ### 选项分析： 1. **A: 威胁建模、源代码审核和模糊测试** - 这些都是软件开发中的重要环节，但并不是 Gery McGraw 博士提出的三大支柱。 2. **B: 源代码审核、风险分析和渗透测试** - 同样，这些都是常见的软件安全性措施，但它们不是 Gery McGraw 提出的三大支柱。 3. **C: 威胁建模、渗透测试和软件安全接触点** - 这里有“软件安全接触点”，但另外两个并不是 Gery McGraw 提出的主要支柱。 4. **D: 应用风险管理、软件安全接触点和安全知识** - 这三个概念正是 Gery McGraw 博士提出的三大支柱。 ### 解析： - **应用风险管理**：这是指在整个软件开发生命周期中识别、评估和管理各种安全风险。 - **软件安全接触点**：这些是在软件开发过程中需要特别关注的安全关键点，例如需求分析、设计、编码、测试等阶段。 - **安全知识**：这指的是开发者必须具备的安全意识和技能，以确保软件的安全性。 ### 生动的例子： 想象你在建造一座大楼，你需要确保这座大楼是安全的。为此，你需要做以下几件事： 1. **评估风险**（应用风险管理）：确定哪些地方可能会出现安全隐患，比如地基是否稳固，材料是否合格。 2. **关键环节检查**（软件安全接触点）：在施工过程中的重要环节进行严格的检查，比如地基浇筑、钢筋绑扎等。 3. **培训工人**（安全知识）：确保所有参与建设的人都知道如何正确施工，并具备必要的安全意识。 这就是 Gery McGraw 博士提出的三大支柱：**应用风险管理**、**软件安全接触点** 和 **安全知识**。 因此，正确答案是 **D**。