2025年安全开发生命周期专家考试题库（附答案和详细解析）（1113）.docxVIP

安全开发生命周期（SDL）专家考试试卷

一、单项选择题（共10题，每题1分，共10分）

安全开发生命周期（SDL）的核心思想是：

A.仅在开发后期进行安全测试

B.将安全措施集成到软件开发的每个阶段

C.由专门的安全团队负责所有安全工作

D.依赖第三方工具完成安全防护

答案：B

解析：SDL的核心是“安全左移”（ShiftLeft），强调将安全需求分析、威胁建模、安全测试等活动嵌入需求、设计、开发、测试等全生命周期阶段，而非仅后期测试（A错误）。SDL要求全员参与（开发、测试、产品经理等），而非仅安全团队（C错误）。第三方工具是辅助手段，不能替代全流程安全实践（D错误）。

微软SDL（MicrosoftSDL）最早提出于哪一年？

A.2001年

B.2004年

C.2007年

D.2010年

答案：B

解析：微软于2004年正式发布SDL框架，作为应对当时频繁软件安全漏洞的系统性解决方案（如IE浏览器漏洞事件）。其他年份为干扰项（A为WindowsXP发布时间，C为SDL3.0更新时间，D为SDL成熟阶段）。

以下哪项是需求阶段（Requirements）的关键安全活动？

A.威胁建模（ThreatModeling）

B.安全需求规格说明书（SRS）编写

C.静态代码分析（SAST）

D.渗透测试（PenetrationTesting）

答案：B

解析：需求阶段的核心是明确安全需求，如数据保护等级、认证方式等，并形成安全需求规格说明书（SRS）。威胁建模属于设计阶段（A错误），SAST和渗透测试属于测试阶段（C、D错误）。

STRIDE威胁建模方法中，“I”代表的威胁类型是：

A.信息泄露（InformationDisclosure）

B.拒绝服务（DenialofService）

C.提升权限（ElevationofPrivilege）

D.篡改（Tampering）

答案：A

解析：STRIDE的完整含义是：欺骗（Spoofing）、篡改（Tampering）、否认（Repudiation）、信息泄露（InformationDisclosure）、拒绝服务（DenialofService）、提升权限（ElevationofPrivilege）。因此“I”对应信息泄露（A正确），其他选项为其他字母的含义（B对应D，C对应E，D对应T）。

以下哪种工具属于动态应用安全测试（DAST）工具？

A.SonarQube

B.OWASPZAP

C.Coverity

D.Dependency-Check

答案：B

解析：DAST通过模拟攻击测试运行中的应用，OWASPZAP（ZedAttackProxy）是典型的DAST工具（B正确）。SonarQube和Coverity是SAST（静态代码分析）工具（A、C错误），Dependency-Check是SCA（软件成分分析）工具（D错误）。

SDL中“安全编码规范”的主要目的是：

A.替代安全测试

B.减少开发阶段的常见漏洞（如SQL注入、XSS）

C.仅适用于高级开发人员

D.强制使用特定编程语言

答案：B

解析：安全编码规范（如OWASP编码标准）通过定义变量校验、输入过滤、加密等规则，直接减少开发过程中因编码错误导致的漏洞（B正确）。其无法替代测试（A错误），适用于所有开发人员（C错误），不限制编程语言（D错误）。

部署阶段（Deployment）的关键安全活动是：

A.编写安全需求文档

B.配置管理与hardened部署

C.进行威胁建模

D.修复代码漏洞

答案：B

解析：部署阶段需确保环境安全，如关闭不必要的服务、配置最小权限、应用安全加固（hardened）策略（B正确）。安全需求文档是需求阶段任务（A错误），威胁建模是设计阶段任务（C错误），修复漏洞是测试阶段任务（D错误）。

以下哪项不属于SDL的“持续改进”原则？

A.定期复盘安全事件

B.更新安全需求以应对新威胁（如AI生成攻击）

C.仅在项目结束时进行安全总结

D.优化安全工具链（如集成SAST到CI/CD）

答案：C

解析：持续改进要求贯穿整个生命周期，包括实时监控、定期复盘（如每月安全例会）、动态调整策略（A、B、D正确）。仅项目结束总结不符合“持续”要求（C错误）。

软件成分分析（SCA）主要用于检测：

A.代码中的逻辑错误

B.第三方依赖库的已知漏洞（如Log4j2）

C.运行时的内存泄漏

D.网络传输中的加密强度

答案：B

解析：SCA（SoftwareCompositionAnalysis）通过扫描依赖库（如NPM、Maven）的版本，识别其中已知的CVE漏洞（如2021年Log4j2的C