2026年安全开发生命周期专家考试题库（附答案和详细解析）（0110）.docxVIP

安全开发生命周期（SDL）专家考试试卷

一、单项选择题（共10题，每题1分，共10分）

安全开发生命周期（SDL）的核心目标是：

A.在软件发布后修复所有安全漏洞

B.通过过程控制预防安全问题的产生

C.仅关注代码层面的安全检测

D.满足合规要求但不提升实际安全性

答案：B

解析：SDL的核心是“预防为主”，通过在开发全周期（需求、设计、开发、测试等阶段）嵌入安全活动（如威胁建模、安全需求分析），从源头减少安全问题，而非事后修复（A错误）。SDL覆盖全流程而非仅代码层面（C错误），且实际提升安全性（D错误）。

微软SDL框架中，“威胁建模”通常首次应用于哪个阶段？

A.需求分析阶段

B.设计阶段

C.开发阶段

D.测试阶段

答案：B

解析：威胁建模是SDL的关键活动，用于识别系统资产、潜在威胁及脆弱点。微软SDL指南明确要求在设计阶段首次进行威胁建模，后续迭代中持续更新（A、C、D阶段非首次应用）。

以下哪项是静态应用安全测试（SAST）工具的典型代表？

A.OWASPZAP

B.BurpSuite

C.SonarQube

D.AppScan

答案：C

解析：SAST通过分析源代码/字节码检测漏洞（如缓冲区溢出、SQL注入），SonarQube是典型SAST工具。OWASPZAP、BurpSuite、AppScan均为动态测试（DAST）工具（A、B