2026年安全开发生命周期专家考试题库（附答案和详细解析）（0413）.docxVIP

2026年安全开发生命周期专家考试题库（附答案和详细解析）（0413）

安全开发生命周期专家考试试卷

一、单项选择题（共10题，每题1分，共10分）

在SDL的威胁建模阶段，下列哪项是核心目标？

A.提高代码执行效率

B.识别潜在安全威胁并制定缓解措施

C.优化用户界面设计

D.缩短开发周期

答案：B

解析：威胁建模的核心是系统化识别资产、威胁和漏洞，并设计针对性防护措施（如STRIDE模型）。选项A、C、D属于性能或功能优化，与安全目标无关。

安全需求分析阶段应重点关注：

A.用户操作便捷性

B.合规性要求（如GDPR）

C.开发成本控制

D.第三方库版本兼容性

答案：B

解析：合规性要求（如数据隐私、审计日志）是SDL的强制性安全需求。选项A、C、D属于非安全相关需求。

（题目3-10略，按相同格式设计）

二、多项选择题（共10题，每题2分，共20分）

下列哪些属于SDL的安全设计原则？（）

A.最小权限原则

B.默认安全配置

C.功能优先于安全

D.纵深防御

答案：ABD

解析：最小权限、默认安全、纵深防御是核心安全设计原则。选项C违背SDL理念，安全应贯穿设计全程。

代码审计阶段常用的自动化工具包括：（）

A.Fortify

B.Jenkins

C.Checkmarx

D.GitLabCI

答案：AC

解析：Fortify和Ch