2026年安全开发生命周期专家考试题库（附答案和详细解析）（0306）.docxVIP

安全开发生命周期（SDL）专家考试试卷

一、单项选择题（共10题，每题1分，共10分）

安全开发生命周期（SDL）的核心目标是：

A.降低软件开发成本

B.在软件发布后修复所有安全漏洞

C.系统化地将安全融入软件开发全流程

D.仅关注代码层面的安全检测

答案：C

解析：SDL的核心是通过系统化方法将安全活动嵌入软件开发的每个阶段（需求、设计、开发、测试等），而非事后补救或单一环节检测。A错误，SDL可能增加前期成本但降低后期风险；B错误，SDL强调“左移”（ShiftLeft），而非发布后修复；D错误，SDL覆盖全流程而非仅代码层。

以下哪项是SDL需求阶段的关键活动？

A.代码静态分析（SAST）

B.安全需求规格说明书（SRS）编写

C.渗透测试（PenetrationTesting）

D.依赖库漏洞扫描（SCA）

答案：B

解析：需求阶段需明确安全需求，编写SRS是关键活动。A（SAST）和D（SCA）属于开发或测试阶段；C（渗透测试）通常在测试阶段进行。

STRIDE模型中“E”代表的威胁类型是：

A.信息泄露（Exposure）

B.拒绝服务（DenialofService）

C.权限提升（ElevationofPrivilege）

D.篡改（Tampering）

答案：C

解析：STRIDE是威胁建模的经典模型，分别代表：Spoofi