2026年安全开发生命周期专家考试题库（附答案和详细解析）（0407）.docxVIP

安全开发生命周期专家考试试卷

一、单项选择题（共10题，每题1分，共10分）

安全开发生命周期（SDLC）的核心目标是什么？

A.仅关注软件开发效率的提高

B.将安全实践集成到软件开发的每个阶段

C.减少开发成本而不考虑安全

D.只在部署阶段执行安全测试

答案：B

解析：安全开发生命周期的核心目标是将安全活动（如威胁建模、代码审计）融入软件开发的整个流程（需求、设计、编码、测试等），确保安全从源头嵌入，而非仅关注效率或成本。A选项错误，因SDLC强调安全优先；C选项忽略安全集成；D选项片面，因安全活动应在所有阶段进行。

在SDLC的哪个阶段最宜执行威胁建模？

A.需求分析阶段

B.设计阶段

C.编码实现阶段

D.部署维护阶段

答案：B

解析：威胁建模应在设计阶段进行，以便在架构中识别潜在安全风险（如注入攻击），并通过设计修改预防。A选项过早，需求阶段焦点是功能而非安全细节；C和D选项过迟，难以有效修复设计缺陷。

OWASPTop10风险中，“注入”攻击的预防措施是什么？

A.仅依赖防火墙防护

B.使用参数化查询和输入验证

C.增加代码注释以提高可读性

D.在部署时执行渗透测试

答案：B

解析：预防注入攻击的关键是安全编码实践，包括使用参数化查询（避免SQL注入）和输入验证，OWASP指南明确强调此点。A选项不足，防火墙无法阻止所有注入；C选项无关安全；D