2026年安全开发生命周期专家考试题库（附答案和详细解析）（0114）.docxVIP

安全开发生命周期（SDL）专家考试试卷

一、单项选择题（共10题，每题1分，共10分）

安全开发生命周期（SDL）的起源通常与以下哪家公司直接相关？

A.微软（Microsoft）

B.谷歌（Google）

C.亚马逊（Amazon）

D.IBM

答案：A

解析：SDL方法论由微软于2004年正式提出，旨在通过将安全活动整合到软件开发全流程中降低安全风险。其他选项公司虽有类似实践，但并非SDL起源主体。

STRIDE威胁分类模型中，字母“I”代表的威胁类型是？

A.欺骗（Spoofing）

B.信息泄露（InformationDisclosure）

C.拒绝服务（DenialofService）

D.权限提升（ElevationofPrivilege）

答案：B

解析：STRIDE是威胁建模的核心工具，六个维度分别为：S（欺骗）、T（篡改）、R（抵赖）、I（信息泄露）、D（拒绝服务）、E（权限提升）。因此“I”对应信息泄露。

以下哪项属于静态代码分析（SAST）工具的典型功能？

A.模拟用户输入测试XSS漏洞

B.扫描运行时内存溢出

C.检测代码中的SQL注入模式

D.监控API调用日志

答案：C

解析：SAST通过分析源代码或字节码检测潜在漏洞（如硬编码凭证、未验证的用户输入），SQL注入模式属于静态代码层面的模式匹配。其他选项均为动态测试（DA