2026年安全开发生命周期专家考试题库（附答案和详细解析）（0221）.docxVIP

安全开发生命周期（SDL）专家考试试卷

一、单项选择题（共10题，每题1分，共10分）

安全开发生命周期（SDL）的核心目标是：

A.降低软件开发成本

B.在发布前修复所有安全漏洞

C.系统化地将安全融入软件开发全流程

D.替代传统的软件测试流程

答案：C

解析：SDL的核心是通过系统化方法将安全活动（如需求分析、威胁建模、安全测试等）嵌入软件开发的每个阶段，而非仅关注漏洞修复或降低成本（A、B错误）。SDL是对传统流程的补充而非替代（D错误）。

以下哪项属于SDL需求阶段的关键活动？

A.代码静态分析

B.安全需求规格说明书编写

C.渗透测试

D.依赖库漏洞扫描

答案：B

解析：需求阶段的核心是明确安全需求，编写安全需求规格说明书（B正确）。代码分析（A）、渗透测试（C）、依赖扫描（D）属于开发或测试阶段活动。

威胁建模的主要目的是：

A.验证系统的性能指标

B.识别系统可能面临的安全威胁及应对措施

C.评估开发团队的安全能力

D.生成系统架构图

答案：B

解析：威胁建模通过STRIDE（欺骗、篡改、抵赖、信息泄露、拒绝服务、权限提升）等方法识别威胁并设计缓解措施（B正确）。其他选项与威胁建模目标无关（A、C、D错误）。

静态代码分析（SAST）的主要特点是：

A.在代码运行时检测漏洞

B.适用于检测内存泄漏、SQL注入等编码缺陷

C.依赖真实用户输