2026年安全开发生命周期专家考试题库（附答案和详细解析）（0416）.docxVIP

安全开发生命周期专家考试试卷

一、单项选择题（共10题，每题1分，共10分）

在安全开发生命周期（SDL）中，威胁建模通常在哪个阶段进行？

A.需求分析阶段

B.设计阶段

C.实现阶段

D.测试阶段

答案：B

解析：威胁建模的核心目标是识别和分析系统的安全风险，应在设计阶段执行，以指导安全架构。选择A错误，因为需求分析阶段主要聚焦功能需求；选择C错误，实现阶段涉及编码；选择D错误，测试阶段主要用于验证而非建模。

SDL推荐的安全编码原则中，“最小权限原则”具体是指什么？

A.要求开发人员使用最低版本的编译器

B.确保进程或用户只拥有完成任务所需的最小访问权限

C.代码应采用最少行的简洁写法

D.开发环境应使用最低配置以提高安全

答案：B

解析：“最小权限原则”是基础安全设计原则，目的是减少攻击面。选择B正确描述了该原则的核心。选择A涉及工具选择而非权限控制；选择C聚焦代码简洁，无直接安全关联；选择D针对环境配置，不是该原则本义。

静态应用程序安全测试（SAST）的主要优点是什么？

A.能够在运行时发现动态漏洞

B.无需执行代码即可检测源代码缺陷

C.最适合用于测试网络基础设施

D.提供真实环境的攻击模拟

答案：B

解析：SAST通过分析源代码静态发现漏洞（如缓冲区溢出），在开发早期进行。选择A错误，SAST不涉及运行时；选择C错误，SAST针对应用程序而非网