2025年软件评测师真题(含答案)

2025年软件评测师真题(含答案)1.（单项选择）在基于风险的测试中，下列哪一项最能直接体现“测试强度与风险暴露度成正比”的原则？A.对所有功能点采用同等粒度的测试用例B.对历史缺陷集中的模块追加探索式测试C.将高风险模块的语句覆盖目标从80%提升到95%D.在每日构建中随机抽取10%的用例执行答案：C2.（单项选择）某Web系统采用前后端分离架构，前端使用Vue3，后端使用SpringBoot。下列哪项最可能是导致“点击提交按钮后，页面显示500但数据库未产生新记录”的直接根因？A.前端路由未正确配置history模式B.后端事务在Service层被声明为PROPAGATION_NEVERC.Nginx反向代理未开启gzip压缩D.浏览器跨域拦截导致预检请求失败答案：B3.（单项选择）某团队计划在CI流水线中引入变异测试，以下哪项指标最能反映“变异体被有效杀死”？A.原始用例集对变异体的执行通过率下降超过5%B.变异体被执行后触发断言失败或运行时异常C.变异体代码行被覆盖到且未引入新路径D.变异体与原始程序在内存消耗上差异大于10%答案：B4.（单项选择）在GB/T25000.51-2022中，关于“兼容性”质量特性的子特性，下列哪项组合完全正确？A.共存性、互操作性、易替换性B.共存性、互操作性、适应性子C.共存性、易安装性、易替换性D.互操作性、易理解性、共存性答案：A5.（单项选择）某移动App在弱网环境下频繁出现“闪退”，抓取日志发现Native层抛出SIGSEGV。以下哪项定位手段最具性价比？A.在源码中打开AddressSanitizer重新编包B.使用Frida对malloc/free进行动态hookC.直接抓全量网络包并分析TCP重传D.将用户手机Root后安装strace持续采样答案：A6.（单项选择）关于模糊测试（Fuzzing）的覆盖反馈机制，下列描述正确的是：A.基于代码插桩的AFL模式无法应用于Java字节码B.覆盖反馈的核心思想是用路径哈希去重以发现新路径C.覆盖反馈只能用于本地程序，对WebAPI无效D.覆盖反馈会显著降低模糊器吞吐量，因此生产环境禁用答案：B7.（单项选择）某金融系统采用分布式事务TCC模式，下列哪项最可能产生“悬挂事务”？A.Try阶段网络超时导致参与者未收到CancelB.Confirm阶段重复提交幂等校验失效C.Try阶段本地数据库锁超时触发回滚D.Cancel阶段被调用时Try尚未完成答案：D8.（单项选择）在DevOps质量门禁中，以下哪项最能体现“左移”理念？A.生产环境灰度发布需经运维经理邮件审批B.合并请求触发SonarQube扫描并阻断新增Major以上缺陷C.版本上线后由QA执行全量回归D.性能测试在UAT环境通过后才允许进入发布环节答案：B9.（单项选择）某团队使用JMeter进行压测，发现TPS曲线随并发数增加呈锯齿状下跌，下列哪项调优最可能见效？A.将HTTP连接池最大数从200降到50B.把JMeter的Heap从4G调到8GC.把被测系统日志级别从INFO改为ERRORD.在JMeter中关闭“UseKeepAlive”答案：C10.（单项选择）关于AI辅助测试用例生成，下列哪项属于“可解释性”层面的挑战？A.模型训练语料不足导致生成用例重复B.模型无法给出生成用例与需求追踪的显式链接C.模型推理速度过慢导致CI超时D.模型生成的用例在语法层面无法编译答案：B11.（单项选择）某微服务使用Kafka进行事件驱动，测试环境出现“消费者重复消费”现象，下列哪项配置最可能造成该问题？A.mit=false且手动提交逻辑遗漏B.max.poll.records设置过大C.partition.assignment.strategy=RoundRobinAssignorD.auto.offset.reset=latest答案：A12.（单项选择）在基于模型的测试（MBT）中，下列哪项最适合作为“测试预言”（TestOracle）？A.状态机中每条迁移所绑定的前置条件与后置条件B.模型生成的抽象测试用例数量C.模型覆盖的所有状态数量D.模型到脚本转换的代码行数答案：A13.（单项选择）某系统使用PostgreSQL14，开启RR隔离级别，并发测试发现“不可重复读”现象，下列哪项最可能是根因？A.事务中使用了SELECT…FORUPDATESKIPLOCKEDB.事务中使用了串行化退化语句C.事务中使用了CTE未加锁D.事务中使用了多语句函数未声明VOLATILE答案：A14.（单项选择）关于混沌工程，下列哪项最能体现“最小爆炸半径”原则？A.直接kill生产环境所有节点验证自愈能力B.在业务低峰期对只读节点注入CPU满载C.对全链路所有中间件同时注入延迟D.在白天高峰时段随机丢弃50%网络包答案：B15.（单项选择）某团队采用PageObject模式编写UI自动化，下列哪项最能降低“脚本维护成本”？A.将元素定位字符串硬编码在测试方法里B.使用@DataProvider将测试数据与操作逻辑耦合C.在Page类中封装等待条件并暴露业务语义方法D.使用静态全局变量缓存WebDriver实例答案：C16.（单项选择）在静态代码扫描中，下列哪类缺陷最适合用“数据流分析”检测？A.空指针解引用B.魔法数C.方法过长D.命名不规范答案：A17.（单项选择）某系统采用RedisCluster做缓存，测试时发现“MOVED”重定向异常频繁，下列哪项优化最合理？A.将Jedis换成Lettuce并启用共享连接B.把key的TTL统一缩短到30秒C.关闭cluster-require-full-coverageD.增加slave节点并开启readonly命令答案：A18.（单项选择）关于“测试双重”（TestDouble），下列哪项描述正确？A.Mock侧重状态验证，Stub侧重行为验证B.Fake通常包含完整业务实现但使用轻量级资源C.Dummy需要实现接口所有方法并返回固定值D.Spy不能记录内部状态，只能转发调用答案：B19.（单项选择）某云原生应用使用Istio进行灰度发布，下列哪项最能验证“流量镜像”是否生效？A.查看Prometheus中destination_service_name的指标B.对比Kiali拓扑图中v1与v2版本请求比例C.在v2Pod的accesslog中观察到只读请求而无写请求D.查看Istio-proxy的stats中mirror字节数大于0答案：D20.（单项选择）在GB/T38634-2020《信息安全技术安全测试指南》中，对“权限提升”漏洞的测试顺序建议为：A.枚举角色→越权访问→验证会话→追踪日志B.追踪日志→枚举角色→越权访问→验证会话C.验证会话→枚举角色→越权访问→追踪日志D.越权访问→枚举角色→验证会话→追踪日志答案：A21.（多项选择）以下哪些措施能够降低“测试环境漂移”带来的假阳性？A.使用容器化一键创建环境并固化镜像标签B.在测试用例中增加“环境健康检查”前置步骤C.将测试数据与脚本分离并采用版本化数据集D.对第三方依赖服务使用契约测试虚拟化E.每周手动更新一次JDK小版本保持最新答案：A,B,C,D22.（多项选择）某金融App采用OAuth2.0授权码模式，下列哪些测试点属于“授权端点”的安全测试范畴？A.验证redirect_uri与注册值是否精确匹配B.验证scope是否包含未申请权限C.验证authorizationcode有效期是否小于10分钟D.验证客户端是否传递了state参数并校验CSRFE.验证refreshtoken是否支持一次性使用答案：A,B,C,D23.（多项选择）以下哪些指标可用于衡量“测试用例有效性”？A.缺陷检测百分比DDPB.用例执行通过率C.用例关联需求的覆盖率D.用例被发现缺陷的平均时间E.用例在不同版本间的复用率答案：A,C,D,E24.（多项选择）某系统使用Elasticsearch8.x，下列哪些做法有助于在性能测试阶段发现“深分页”问题？A.使用from+size翻页到10000条以后B.使用search_after+sort字段翻页C.开启track_total_hits=falseD.对text字段做聚合且size设为0E.使用scrollAPI持续拉取全量数据答案：A,E25.（多项选择）下列哪些场景适合采用“无脚本自动化”即Record&Playback？A.一次性验收演示且后期无需维护B.团队无编码能力且周期极短C.被测系统界面稳定且交互流程固化D.需要数据驱动且参数组合上百种E.需要跨平台同时生成Appium与Selenium脚本答案：A,B,C26.（多项选择）在AI模型测试阶段，下列哪些属于“对抗样本”的生成策略？A.FGSM快速梯度符号法B.JSMA基于雅可比矩阵C.随机高斯噪声叠加D.遗传算法搜索最小扰动E.网格搜索超参数调优答案：A,B,C,D27.（多项选择）某团队采用“测试即文档”实践，下列哪些做法可以提升“文档可用性”？A.用Gherkin语法描述场景并绑定需求编号B.将用例导出为HTML并发布到ConfluenceC.在CI中自动生成时序图并附加到报告D.用Swagger注解同步生成OpenAPI并展示实例E.把用例保存为Excel并加密存放答案：A,B,C,D28.（多项选择）关于“并发bug”的系统性排查，下列哪些工具组合常被联合使用？A.ThreadSanitizer+HelgrindB.JProfiler+PerfC.Lockdep+RustSanD.Goracedetector+deadlockE.Valgrind+Callgrind答案：A,D29.（多项选择）下列哪些做法有助于在“单元测试”中避免“过度Mock”？A.使用Fake数据库代替Mock数据库B.对私有方法打桩以提高隔离度C.采用契约测试验证外部服务边界D.使用测试容器启动真实中间件E.对静态工具类一律使用PowerMock答案：A,C,D30.（多项选择）某系统采用多云CDN，下列哪些监控指标可用于提前预警“区域性网络故障”？A.边缘节点TCP连接建立时延P99B.回源带宽环比增长率C.用户端DNS解析时延D.边缘节点磁盘I/O饱和度E.源站5xx状态码占比答案：A,C,E31.（判断）在等价类划分中，若输入为“1-100的整数”，则无效等价类“<1”与“>100”可以合并为一个等价类以减少用例。答案：错误32.（判断）使用Selenium4的RelativeLocator可以定位到“位于某元素下方且可见”的按钮，无需编写XPath。答案：正确33.（判断）在MySQL8.0中，即使隔离级别设为SERIALIZABLE，仍可能出现“幻读”现象。答案：错误34.（判断）采用“特征开关”技术可以在生产环境动态关闭尚未测试完成的功能，因此无需在测试环境验证开关关闭逻辑。答案：错误35.（判断）在契约测试中，消费者驱动的契约文件必须由消费者团队单独编写，提供者无权修改。答案：错误36.（判断）使用eBPF技术可以在内核态对容器Syscall进行过滤，从而在不修改代码的前提下采集测试覆盖率。答案：正确37.（判断）“测试金字塔”模型推荐UI层用例占比应高于单元层，以保证端到端场景充分验证。答案：错误38.（判断）在性能测试中，若系统CPU利用率持续低于50%，则基本可以判定瓶颈不在计算型逻辑。答案：正确39.（判断）“变异得分”越高，说明测试用例越能有效发现缺陷，因此变异得分100%意味着软件无缺陷。答案：错误40.（判断）采用“蓝绿发布”策略时，测试流量与生产流量完全隔离，因此可以在蓝环境放心执行破坏性测试。答案：正确41.（填空）在GB/T25000.10-2016中，软件质量模型将“安全性”划分为________、________、________、________、________五个子特性。答案：保密性、完整性、抗抵赖性、可核查性、真实性42.（填空）使用JMeter进行分布式压测时，控制机与负载机之间默认使用________端口进行RMI通信。答案：109943.（填空）在Postman中，如需在集合级别统一添加“Authorization:Bearer{{token}}”头部，应使用________功能。答案：Pre-requestScript44.（填空）Git2.40引入的“__”命令可以仅合并指定文件而保持提交历史独立。答案：gitrestore--source=branch--staged--worktree--path45.（填空）在Dockerfile中，指令“________”可将构建阶段指定为无缓存重新执行。答案：--no-cache46.（填空）使用Appium测试iOS真机时，依赖的底层通信协议名称是________。答案：WebDriverAgent47.（填空）在SonarQube中，规则仓库“__”专门用于检测JavaScript空指针风险。答案：eslint-plugin-security48.（填空）Linux系统调用“________”可用于追踪进程打开的文件描述符。答案：lsof49.（填空）在Python单元测试中，使用“________”装饰器可将测试标记为预期失败。答案：@unittest.expectedFailure50.（填空）使用Prometheus监控黑盒探测时，对应的官方组件名称是________。答案：BlackboxExporter51.（简答）描述“并发测试”与“并行测试”的区别，并给出各自适用的典型场景。答案：并发测试指在同一时间段内让多个操作共享资源，以发现竞态、死锁、数据不一致等问题，典型场景如多线程扣减库存、数据库并发转账；并行测试指在同一时刻启动多个独立测试用例以缩短反馈时间，典型场景如CI流水线中分片执行回归用例、多浏览器并行跑UI自动化。二者关注点不同：并发重“冲突”，并行重“提速”。52.（简答）说明“测试数据饥渴”现象产生的原因及三种解决策略。答案：原因：测试环境数据与生产分布差异大、敏感数据脱敏后失去边界特征、数据版本与脚本版本不同步。策略：1.采用生产子集抽样+脱敏管道，每日定时同步；2.使用合成数据生成器，基于统计分布保持边界值；3.引入数据即代码，将数据集与脚本同库同版本，通过Flyway迁移。53.（简答）阐述“变异测试”在嵌入式C项目中的落地难点及对应解决方案。答案：难点：1.交叉编译工具链多样，插桩后代码体积膨胀导致Flash溢出；2.硬件外设依赖导致变异体难以在宿主机运行；3.实时性要求使超时判定复杂。方案：1.采用源码级轻量级变异算子，过滤掉对体积影响大的变异；2.使用QEMU+Renode模拟器，结合CI并行执行；3.引入WCET静态分析，设定动态超时阈值。54.（简答）说明“flakytest”对CI流水线的危害及四条治理原则。答案：危害：阻塞交付节奏、降低团队对失败信任度、掩盖真实缺陷、增加调查成本。原则：1.隔离：将flakytest移入独立阶段，失败不阻断主流程；2.追踪：用标签标记并记录失败频率；3.根因：定位并修复，优先解决环境依赖与并发问题；4.清除：连续稳定运行N次后回归主流程，否则删除。55.（简答）解释“性能回归”与“功能回归”在测试设计上的差异。答案：功能回归关注输出正确性，用例可复用且断言明确；性能回归关注指标变化，需建立基线并对比趋势，用例需固定数据规模、并发模型、硬件规格，断言为阈值区间而非绝对值，且需排除环境噪声，通常要多次采样取置信区间。56.（综合）某电商平台计划在2025年“618”大促前完成全链路压测，系统架构如下：-入口层：阿里云SLB→CDN→WAF→API网关Kong-应用层：K8s集群，PodHPA基于CPU60%阈值伸缩-缓存：RedisCluster6分片，每分片一主两从-消息：RocketMQ4.9，双主双从同步刷盘-数据库：PolarDBMySQL8.0一主5只读，最大连接数2000-日志：Filebeat→Kafka→Logstash→Elasticsearch8.5业务模型：秒杀商品100件，库存扣减使用Redis原子递减，订单异步落库。请回答：1.给出压测目标核心指标及数值；2.设计压测场景并说明并发模型；3.给出监控指标集合；4.指出潜在瓶颈及调优建议；5.描述灰度压测步骤及退出条件。答案：1.目标：峰值TPS3万，下单接口RTP99≤300ms，成功率≥99.9%，CPU≤70%，内存≤80%，无核心错误日志。2.场景：-秒杀预热：提前5分钟批量刷新缓存，预热商品热点；-脉冲模型：用JMeterUltimateThreadGroup，0秒启动5000并发，每30秒增加5000，达到3万后持续10分钟，再阶梯下降；-流量配比：下单:查询:登录=5:3:2；-参数化：使用CSVRead随机抽取用户token与收货地址，保证用户不重复。3.监控：-业务：订单成功率、库存超卖量、消息积压量；-应用：PodCPU、内存、HPA伸缩次数、FullGC次数；-缓存：RedisQPS、缓存命中率、主从延迟；-消息：RocketMQTPS、消费延迟、磁盘IO；-数据：PolarDB主从延迟、连接数、慢查询；-基础设施：节点负载、TCP重传、CDN5xx、WAF拦截率。4.瓶颈与调优：-Redis热点：采用本地缓存+分片随机前缀，减少单Key热点；-连接池：调整Kong到Tomcat最大连接从800到1500，防止连接耗尽；-线程池：订单服务异步线程池队列长度由500调至2000，拒绝策略改为CallerRuns；-消息：增加消费组，提高并发度，刷盘策略由同步改为异步双写；