2026年安全开发生命周期专家考试题库（附答案和详细解析）（0218）.docxVIP

安全开发生命周期（SDL）专家考试试卷

一、单项选择题（共10题，每题1分，共10分）

安全开发生命周期（SDL）的起源通常与哪家公司的实践直接相关？

A.Google

B.微软（Microsoft）

C.亚马逊（Amazon）

D.甲骨文（Oracle）

答案：B

解析：SDL的概念由微软在2004年首次系统提出，其核心实践（如威胁建模、安全测试）源于微软应对频繁安全漏洞的经验总结。其他选项公司虽涉及安全开发，但并非SDL起源的直接提出者。

需求阶段的核心安全活动是？

A.代码静态分析

B.威胁建模

C.渗透测试

D.应急响应计划制定

答案：B

解析：需求阶段的核心是明确安全目标，威胁建模通过识别系统资产、威胁和脆弱性，为后续安全设计提供依据。代码分析（开发阶段）、渗透测试（测试阶段）、应急计划（发布阶段）均非需求阶段核心。

静态代码分析工具主要用于检测以下哪类问题？

A.网络带宽瓶颈

B.代码逻辑漏洞（如SQL注入）

C.服务器配置错误

D.用户界面交互缺陷

答案：B

解析：静态分析通过扫描源代码检测潜在安全漏洞（如未经验证的输入、不安全的函数调用），属于开发阶段的安全活动。网络瓶颈（性能测试）、配置错误（部署阶段）、界面缺陷（功能测试）均非其目标。

以下哪项是SDL“安全左移”原则的典型体现？

A.在上线前集中进行安全测试

B.在需求阶段开展威胁建