2026年安全开发生命周期专家考试题库（附答案和详细解析）（0202）.docxVIP

安全开发生命周期（SDL）专家考试试卷

一、单项选择题（共10题，每题1分，共10分）

安全开发生命周期（SDL）的核心目标是？

A.降低开发成本

B.在交付前消除所有安全漏洞

C.系统性地将安全融入软件开发全流程

D.满足合规性要求但不涉及实际安全能力

答案：C

解析：SDL的核心是通过流程化方法将安全活动（如需求分析、威胁建模、代码审计等）嵌入开发各阶段，而非单纯消除漏洞或满足合规（B、D错误）。降低开发成本是次要目标（A错误）。

以下哪项是SDL需求阶段的典型活动？

A.静态代码分析（SAST）

B.安全需求规格说明书编写

C.渗透测试

D.依赖项漏洞扫描

答案：B

解析：需求阶段需明确安全需求（如认证、加密要求）并形成文档（B正确）。SAST（开发阶段）、渗透测试（测试阶段）、依赖项扫描（构建阶段）均为后续阶段活动（A、C、D错误）。

威胁建模（ThreatModeling）的核心输出是？

A.系统架构图

B.威胁-脆弱性-影响（TVI）列表

C.漏洞修复优先级

D.安全测试用例

答案：B

解析：威胁建模通过STRIDE等方法识别威胁场景，输出包含威胁类型、脆弱点、潜在影响的列表（B正确）。系统架构图是输入（A错误），漏洞优先级是风险评估输出（C错误），测试用例是测试阶段输出（D错误）。

以下工具中，最适用于动态代码分析（DAST）的是？

A.S