2026年安全开发生命周期专家考试题库（附答案和详细解析）（0124）.docxVIP

安全开发生命周期（SDL）专家考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪项是微软SDL（安全开发生命周期）的核心原则？

A.仅在测试阶段进行安全检测

B.安全责任由安全团队独立承担

C.将安全活动融入软件开发全周期

D.优先满足功能需求再处理安全问题

答案：C

解析：微软SDL的核心是“安全左移”，强调将安全活动（如需求分析、威胁建模、安全测试等）嵌入软件开发的每个阶段（需求、设计、开发、测试、发布、运维），而非仅在后期处理。选项A错误，因安全检测需贯穿全周期；B错误，SDL要求跨团队协作；D错误，安全需与功能同步考虑。

威胁建模（ThreatModeling）中“STRIDE”方法的“E”指的是？

A.权限提升（ElevationofPrivilege）

B.信息泄露（ExposureofInformation）

C.拒绝服务（DenialofService）

D.篡改（Tampering）

答案：A

解析：STRIDE是威胁分类的经典模型，分别代表：Spoofing（仿冒）、Tampering（篡改）、Repudiation（抵赖）、InformationDisclosure（信息泄露）、DenialofService（拒绝服务）、ElevationofPrivilege（权限提升）。因此“E”对应权限提升，选项A正