2026年安全开发生命周期专家考试题库（附答案和详细解析）（0225）.docxVIP

安全开发生命周期（SDL）专家考试试卷

一、单项选择题（共10题，每题1分，共10分）

安全开发生命周期（SDL）的核心原则是：

A.仅在测试阶段进行安全检查

B.将安全需求融入开发全流程

C.依赖第三方工具完成所有安全检测

D.优先满足功能需求再处理安全问题

答案：B

解析：SDL的核心是“安全左移”，强调从需求分析阶段开始融入安全要求，贯穿设计、开发、测试、部署等全生命周期（参考微软SDL框架）。选项A错误，因安全检查需贯穿全流程；C错误，第三方工具是辅助手段而非全部；D错误，安全与功能需求需同步考虑。

威胁建模的最佳实践通常开始于SDL的哪个阶段？

A.需求分析阶段

B.设计阶段

C.开发阶段

D.部署阶段

答案：B

解析：威胁建模需基于系统设计（如数据流图、资产清单）识别潜在威胁，因此通常在设计阶段启动（OWASPSDL指南）。需求阶段主要明确安全需求，开发阶段侧重实现，部署阶段侧重运行时防护，故ACD错误。

以下哪项是静态代码分析（SAST）工具的主要作用？

A.检测运行时漏洞（如SQL注入）

B.分析依赖库的已知漏洞

C.扫描代码中不符合安全规范的模式

D.模拟黑客攻击验证系统防护能力

答案：C

解析：SAST通过静态分析代码结构，检测缓冲区溢出、未验证输入等编码缺陷（NISTSP800-42）。A是动态测试（DAST）的作用，B是软件成分