2026年安全开发生命周期专家考试题库（附答案和详细解析）（0303）.docxVIP

安全开发生命周期（SDL）专家考试试卷

一、单项选择题（共10题，每题1分，共10分）

安全开发生命周期（SDL）的核心目标是：

A.提高开发效率

B.在软件全生命周期中融入安全实践

C.替代传统测试流程

D.降低开发成本

答案：B

解析：SDL的核心是通过在需求、设计、开发、测试、发布、维护等全生命周期阶段嵌入安全实践（如威胁建模、安全编码、漏洞扫描等），系统性降低软件安全风险。A（效率）、C（替代测试）、D（成本）均偏离SDL的安全核心目标。

微软SDL框架首次提出的时间是：

A.1998年

B.2004年

C.2010年

D.2015年

答案：B

解析：微软于2004年正式发布SDL框架，作为应对当时频繁软件安全漏洞的系统性解决方案。其他时间点为干扰项，无历史依据。

威胁建模（ThreatModeling）通常应在SDL的哪个阶段开展？

A.需求阶段

B.设计阶段

C.开发阶段

D.维护阶段

答案：B

解析：威胁建模的核心是通过分析系统架构、数据流和资产，识别潜在威胁并设计防御措施，因此最适合在系统设计阶段（明确架构和功能时）开展。需求阶段侧重安全需求定义，开发阶段侧重代码实现，维护阶段侧重漏洞修复，均非威胁建模的最佳阶段。

以下哪项属于SDL中“安全需求分析”的输出？

A.威胁模型文档

B.安全功能清单

C.代码扫描报告

D.渗透测试用例