2025年安全开发生命周期专家考试题库（附答案和详细解析）（1229）.docxVIP

安全开发生命周期（SDL）专家考试试卷

一、单项选择题（共10题，每题1分，共10分）

安全开发生命周期（SDL）的核心目标是：

A.在软件发布后修复所有安全漏洞

B.通过全周期安全活动预防漏洞产生

C.仅关注代码编写阶段的安全检查

D.依赖第三方安全工具替代人工审核

答案：B

解析：SDL的核心是“预防为主”，通过在需求、设计、开发、测试、发布等全生命周期融入安全活动（如威胁建模、安全编码规范、安全测试），从源头减少漏洞，而非事后修复（排除A）。SDL覆盖全阶段（排除C），且工具无法替代人工审核（排除D）。

以下哪项是SDL需求阶段的关键安全活动？

A.静态代码分析（SAST）

B.威胁建模（ThreatModeling）

C.渗透测试（PenetrationTesting）

D.依赖项漏洞扫描（SCA）

答案：B

解析：需求阶段需明确安全需求并识别潜在威胁，威胁建模是此阶段的核心活动（B正确）。SAST（开发阶段）、渗透测试（测试阶段）、SCA（开发/测试阶段）均属于后续阶段活动（排除A、C、D）。

微软SDL（MicrosoftSDL）中“安全培训”通常应在哪个阶段实施？

A.需求分析前

B.代码编写期间

C.测试完成后

D.发布上线时

答案：A

解析：微软SDL强调“安全左移”，要求开发团队在开始项目前接受安全培训（如安全编码规范、威胁建模方法），确保后续活动有效执行（A正确）。其他阶段培训效果会滞后（排除B、C、D）。

OWASPZAP主要用于以下哪种安全测试？

A.静态代码分析

B.动态应用安全测试（DAST）

C.交互式应用安全测试（IAST）

D.组件漏洞扫描（SCA）

答案：B

解析：ZAP（ZedAttackProxy）是开源动态测试工具，通过模拟攻击发现运行时漏洞（如XSS、CSRF），属于DAST（B正确）。SAST工具如Checkmarx（排除A），IAST如ContrastSecurity（排除C），SCA如OWASPDependency-Check（排除D）。

以下哪项不属于SDL“发布阶段”的安全活动？

A.最终安全评审（FinalSecurityReview）

B.漏洞修复验证（PatchValidation）

C.安全配置指南（SecureConfiguration）

D.威胁建模更新（ThreatModelUpdate）

答案：D

解析：发布阶段需确保上线前所有漏洞已修复并验证（B）、配置安全（C）、完成最终评审（A）。威胁建模通常在需求/设计阶段完成，后续仅需更新（D属于设计/开发阶段活动）。

安全编码规范（SecureCodingGuidelines）的主要作用是：

A.替代代码审查

B.强制使用特定开发框架

C.减少常见编码漏洞（如SQL注入）

D.仅适用于传统编程语言（如C/C++）

答案：C

解析：规范通过定义安全编码规则（如输入验证、参数化查询），指导开发者避免常见漏洞（C正确）。规范是辅助工具，不能替代审查（排除A），不强制框架（排除B），适用于所有语言（排除D）。

SDL中“隐私影响评估（PIA）”主要针对以下哪类系统？

A.金融交易系统

B.内部文档管理系统

C.开源社区论坛

D.物联网设备固件

答案：A

解析：PIA用于评估收集、处理个人数据的系统对隐私的影响，金融交易系统涉及大量用户敏感信息（如银行卡号、身份信息），需重点评估（A正确）。其他系统隐私风险较低（排除B、C、D）。

以下哪项是SDL“设计阶段”的输出成果？

A.安全需求规格说明书

B.威胁模型文档（ThreatModelDocument）

C.漏洞修复报告

D.渗透测试脚本

答案：B

解析：设计阶段通过威胁建模生成威胁模型文档（包含资产、威胁、缓解措施）（B正确）。安全需求在需求阶段输出（排除A），漏洞修复报告在测试阶段（排除C），渗透测试脚本在测试准备阶段（排除D）。

组件漏洞扫描（SCA）的核心目的是：

A.检测代码中的逻辑错误

B.识别第三方库的已知漏洞

C.验证访问控制策略

D.评估网络传输加密强度

答案：B

解析：SCA（SoftwareCompositionAnalysis）通过扫描依赖库（如NPM包、Maven依赖），检查是否存在已知CVE漏洞（B正确）。逻辑错误由SAST检测（排除A），访问控制由DAST/渗透测试验证（排除C），加密强度由配置检查或协议分析工具评估（排除D）。

以下哪个标准明确提出了SDL的最佳实践？

A.ISO27001

B.OWASPSDL实践指南

C.PCIDSS

D.GDPR

答案：B

解析：OWASP专门发布了《SDL实践指南》（SDL