2026年安全开发生命周期专家考试题库（附答案和详细解析）（0401）.docxVIP

2026年安全开发生命周期专家考试题库（附答案和详细解析）（0401）

安全开发生命周期（SDL）专家考试试卷

一、单项选择题（共10题，每题1分，共10分）

微软提出的安全开发生命周期（SDL）中，“安全培训”阶段的主要目的是：

A.编写安全代码规范

B.提高开发团队的安全意识

C.执行渗透测试

D.定义隐私保护要求

答案：B

解析：安全培训是SDL第一阶段，旨在提升开发人员对安全威胁的认知。A属于”安全要求”阶段，C属于”安全验证”，D属于”需求分析”。

STRIDE威胁建模中的”D”代表：

A.数据篡改（Tampering）

B.拒绝服务（DenialofService）

C.信息披露（InformationDisclosure）

D.权限提升（ElevationofPrivilege）

答案：B

解析：STRIDE模型包含六类威胁：欺骗（S）、篡改（T）、否认（R）、信息披露（I）、拒绝服务（D）、权限提升（E）。

二、多项选择题（共10题，每题2分，共20分）

在SDL的”安全设计”阶段，应遵循的原则包括：

A.最小权限原则

B.深度防御

C.代码混淆

D.故障安全默认

答案：ABD

解析：ABD是核心安全设计原则；C是逆向防护技术，不属于设计原则范畴。

以下属于静态应用程序安全测试（SAST）特点的是：

A.无需运行程序

B.