【系统分析师】2021年真题：论文及解题思路

试题一：论面向对象的信息系统分析方法

信息系统分析是信息系统生命周期的重要阶段之一，是使用系统的观点和方法，把复杂系统分解为简单组成部分并确定这些组成部分的基本属性和关系的过程。在此过程中可使用多种分析方法,以及相应的辅助工具。其中，面向对象分析方法（Object-Oriented AnalysisMethod,00AM）是在系统开发过程中进行了系统业务调查后，按照面向对象的思想来分析问题的方法。

请围绕“面向对象的信息系统分析方法”论题，依次从以下三个方面进行论述。
1.概要叙述你参与管理和开发的软件项目以及你在其中所承担的主要工作。
2．请简要描述面向对象系统分析方法的主要步骤。
3.具体阐述你参与管理和开发的项目是如何基于面向对象分析方法进行信息系统分析的。

解题思路:
一、简要叙述所参与管理和开发的软件项目，需要明确指出在其中承担的主要任务和开展的主要工作。
二、面向对象分析方法通常按照下面的步骤来进行:
（1）标识对象和类。可以从应用领域开始，逐步确定形成整个应用的基础类和对象。这一步需要分析领域中目标系统的责任，调查系统的环境，从而确定对系统有用的类和对象。（2）标识结构。典型的结构有两种，即一般-特殊结构和整体-部分结构。一般-特殊结构表示一般类是基类，特殊类是派生类。比如，汽车是轿车和卡车的基类，这是一种一般-特殊结构。整体-部分结构表示聚合，由属于不同类的成员聚合成为新的类。比如，轮子、车体和汽车底盘都是汽车的一部分，这些不同功能的部件聚合成为汽车这个整体。
（3）标识属性。对象所保存的信息称为它的属性。类的属性描述状态信息，在类的某个实例中，属性的值表示该对象的状态值。需要找出每个对象在目标系统中所需要的属性，并将属性安排在适当的位置，找出实例连接，最后再进行检查。应该给出每个属性的名字和描述，并指定该属性所受的特殊限制(如只读、属性值限定在某个范围之内等)。
（4）标识服务。对象收到消息后执行的操作称为对象提供的服务。它描述了系统需要执行的处理和功能。定义服务的目的是定义对象的行为和对象之间的通信。
（5）标识主题。为了更好地理解包含大量类和对象的概念模型，需要标识主题，即对模型进行划分,给出模型的整体框架，划分出层次结构。
三、论文中需要结合项目实际工作，详细论述在项目中是如何基于面向对象的分析方法进行信息系统分析的。

试题二：论静态测试方法及其应用

软件测试是在将软件交付给客户之前所必须完成的重要步骤之一。目前，软件的正确性证明技术尚不成熟，软件测试仍是发现软件错误的主要手段。软件测试方法可分为静态测试和动态测试，其中静态测试是指被测程序不在机器上运行，而通过人工检测和计算机辅助的手段对程序进行测试，该方法能够有效地发现软件30%~70%的设计和编码错误。

请围绕“静态测试方法及其应用”论题，依次从以下三个方面进行论述。
1.概要叙述你参与管理和开发的软件项目,以及你在其中所承担的主要工作。
2．详细论述静态测试主要方法的内容和过程。
3.结合你具体参与管理和开发的实际项目，说明如何进行静态测试,并说明如何选择合适的静态测试方法及具体实施过程和效果。

解题思路：
一、简要叙述所参与管理和开发的软件项目，并明确指出在其中承担的主要任务和开展的主要工作。
二、静态测试是指被测程序不在机器上运行，而采用人工检测和计算机辅助静态分析的手段对程序进行测试。静态测试的目标包括文档和代码。对代码的静态测试一般采用桌前检查、代码审查、代码走查。经验表明，使用这种方法能够有效地发现30%～70%的逻辑设计错误和编码错误。
桌前检查:由程序员检查自己编写的程序。程序员在程序通过编译之后，进行单元测试之前，对程序源代码进行分析、检验，并补充相关的文档，目的是发现程序中的错误。由于程序员熟悉自己的程序及其程序设计风格,可以节省很多的检查时间,但应避免主观片面性。
代码审查:代码审查是由若干程序员和测试员组成一个评审小组，通过阅读、讨论和争议，对程序进行静态分析的过程。在会上，首先由程序员逐句解释程序的逻辑。在此过程中，程序员或其他小组成员可以提出问题，展开讨论，审查错误是否存在。实践表明，程序员在审查的过程中能发现许多原来自己没有发现的错误，而讨论和争议则促进了问题的暴露。
代码走查:走查与代码审查基本相同，但开会的程序与代码审查不同,走查不是简单地读程序和对照错误检查表进行检查，而是让与会者“充当”计算机，即首先由测试组成员为所测试程序准备一批有代表性的测试用例，提交给走查小组。走查小组开会，集体扮演计算机角色，让测试用例按照程序的逻辑运行一遍，随时记录程序的踪迹，供分析和讨论用。
静态分析:静态分析是指在不运行代码的方式下，通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描，验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。目前静态分析技术向模拟执行的技术发展，以能够发现更多传统意义上动态测试才能发现的缺陷，例如符号执行、抽象解释、值依赖分析等，并采用数学约束求解工具进行路径约减或者可达性分析以减少误报,增加分析效率。
三、考生需结合自身参与项目的实际状况，指出其参与管理和开发的项目中所进行的静态测试工作，说明静态测试的具体实施过程、如何选择静态测试方法，并对实际应用效果进行分析。

试题三：论富互联网应用的客户端开发技术

富互联网应用(Rich Internet Application,RIA）是一种新型Web应用程序架构。它结合了桌面软件良好的用户体验和Web应用程序易部署的优点,利用丰富的数据模型和丰富的客户端呈现形式，保证了在无刷新页面之下提供更高效的界面响应速度和通用的用户界面特征，迅速响应用户输入并进行相应处理，从而为用户构建一个快速响应、交互性强的应用程序。近年来，各技术厂商相继推出了多种新的技术来支持RIA应用开发。

请围绕“富互联网应用的客户端开发技术”论题，依次从以下三个方面进行论述。
1.简要叙述你参与的软件开发项目以及你所承担的主要工作。
2.说明目前有哪些主要的RIA客户端开发技术，详细阐述每种技术的特点和优势。
3.根据你所参与的项目，具体采用了哪种RIA客户端开发技术，其实施效果如何。

解题思路:
一、简要描述所参与的软件系统开发项目，并明确指出在其中承担的主要任务和开展的主要工作。
二、说明目前有哪些主要的RIA客户端开发技术，详细阐述每种技术的特点和优势。
(1) Flex。 Flex是一个表示服务器和应用程序框架，它可以运行于J2EE 和.NET 平台。Flex应用程序框架由MXML (Macromedia XML)、ActionScript和Flex类库构成。开发人员利用MXML定义应用程序用户界面元素，利用ActionScript 定义客户逻辑与程序控制。Flex类库中包括Flex组件、管理器和行为等。
(2) Bindows。 Bindows是用JavaScript和 DHTML (Dynamic HTML，动态 HTML)开发的Web窗口框架。JavaScript用于客户端界面的显示和处理，XML和 HTTP用于客户端与服务器的信息传输。
(3) Java。 一些相当复杂的系统都是用Java 编写的，这说明可以用Java来建立几乎任何一个能够想象得到的RIA。使用Java建立RIA 的主要缺陷是它的复杂性，例如，即使对简单的窗口和图形,也要求编写非常烦琐的代码。
(4) Laszlo。 Laszlo是一个开源的RIA开发环境。使用Laszlo平台时，开发人员只需编写名为LZX的描述语言（其中整合了XML 和JavaScript)，运行在J2EE 应用服务器上的 Laszlo表示服务器会将其编译成SWF格式的文件并传输给客户端展示。
(5) XUL。 XUL (XML User Interface Language，基于 XML 的用户界面语言）可用于建立窗口应用系统，这些系统既可以在Mozilla浏览器上运行，也可以在其他描述引擎上运行。XUL描述引擎都非常小，它既可以使用XML 数据，也可以生成XML数据。
(6)Avalon。 Avalon是 Vista的一部分，是一个图形和展示引擎,主要由.NET框架中的一组类集合而成。Avalon定义了一个在 Longhorn中使用的新标记语言，其代号为 XAML (eXtensibleApplication Markup Language)，即可扩展应用标记语言。可以使用XAML 来定义文本、图像和控件的布局，程序代码可以直接嵌入到XAML 中，也可以将它保留在一个单独的文件内。
三、针对考生本人所参与的项目中使用的RIA客户端开发技术,说明实施过程和具体实施效果。

试题四：论DevSecOps技术及其应用

随着互联网技术不断发展，网络安全面临着更大的挑战，IT安全防护显得越来越重要。采用DevOps技术能够有效推进软件开发的效率，提高迭代速度。但是，在传统的DevOps技术实施过程中，安全防护在开发的最后阶段才介入，延后的安全措施可能会拖累整个流程，严重影响DevOps的实施速度和效果。在这一背景下，业界普遍认为安全防护是整个IT团队的共同责任，需要贯穿至整个生命周期的每一个环节,由此催生出了“DevSecOps”这一概念，它强调在项目计划启动初期,必须为DevOps计划打下扎实的安全基础。

请围绕“DevSecOps技术及其应用”论题，依次从以下三个方面进行论述。
1.概要叙述你参与管理和开发的软件项目以及你在其中所承担的主要工作。
2.详细描述DevSecOps包含的主要阶段和每个阶段需要完成的工作。
3．结合你具体参与管理和开发的实际软件项目，说明是如何应用 DevSecOps 技术进行开发、运维、安全一体化管理的,给出具体实施过程以及应用效果。

解题思路：
一、简要叙述所参与管理和开发的软件项目，并明确指出在其中承担的主要任务和开展的主要工作。
二、典型的 DevOps流程包括计划、编码、构建、测试、发布和部署等阶段。在DevSecOps中，每个阶段都会应用特定的安全检查。
（1）计划:执行安全性分析并创建测试计划，以确定在何处、如何以及何时进行测试的方案。
（2）编码:部署检查工具和代码仓库控件（如Git控件）以保护密码和API密钥。
（3）构建:在构建执行代码时，结合使用静态应用程序安全测试（SAST）工具来跟踪代码中的缺陷,然后再部署到生产环境中。这些工具针对特定的编程语言。
（4）测试:在运行时使用动态应用程序安全测试（DAST)工具来测试应用程序。这些工具可以检测用户身份验证、授权、SQL注入以及与 API相关端点的错误。
（5）发布:在发布应用程序之前，使用安全分析工具来进行全面的渗透测试和漏洞扫描。
（6）部署:在运行时完成上述测试后,将安全的版本发送到生产环境中以进行最终部署。
三、考生需结合自身参与项目的实际状况，指出其参与管理和开发的项目中是如何应用DevSecOps 技术进行开发、运维、安全一体化管理的，说明具体实施过程、使用的方法，并对实际应用效果进行分析。