2026年安全开发生命周期专家考试题库（附答案和详细解析）（0227）.docxVIP

安全开发生命周期（SDL）专家考试试卷

一、单项选择题（共10题，每题1分，共10分）

安全开发生命周期（SDL）的起源主要与以下哪家机构相关？

A.OWASP（开放Web应用安全项目）

B.微软（Microsoft）

C.NIST（美国国家标准与技术研究院）

D.ISO（国际标准化组织）

答案：B

解析：SDL的概念由微软于2004年正式提出，通过将安全实践融入软件开发各阶段，系统性降低安全风险。OWASP提供安全指南但非起源；NIST和ISO发布安全标准，但非SDL起源机构。

威胁建模（ThreatModeling）的主要实施阶段是？

A.需求阶段

B.设计阶段

C.开发阶段

D.测试阶段

答案：B

解析：威胁建模的核心是在系统设计初期识别资产、威胁及脆弱性，为安全设计提供依据，因此主要在设计阶段实施。需求阶段侧重收集安全需求，开发阶段侧重编码合规，测试阶段侧重漏洞验证，均非威胁建模的主要阶段。

静态应用安全测试（SAST）工具的主要作用是？

A.模拟用户攻击行为检测运行时漏洞

B.分析代码结构检测潜在编码漏洞

C.扫描第三方库依赖的已知漏洞

D.监控生产环境的异常流量

答案：B

解析：SAST通过分析未运行的源代码/二进制文件，检测缓冲区溢出、SQL注入等代码级漏洞。A是DAST（动态测试）的功能，C是SCA（软件成分分析）的功能，D是运行时监控的功