2026年安全开发生命周期专家考试题库（附答案和详细解析）（0430）.docxVIP

2026年安全开发生命周期专家考试题库（附答案和详细解析）（0430）

安全开发生命周期（SDL）专家认证考试试卷

一、单项选择题（共10题，每题1分，共10分）

1.SDL模型中，“安全需求分析”阶段的主要目标是？

A.编写安全测试用例

B.定义系统的安全质量门限

C.执行渗透测试

D.修复代码漏洞

答案：B

解析：安全需求分析阶段需明确安全目标（如OWASPTop10防护要求），定义可量化的安全标准（如漏洞扫描通过率），选项B正确；A、C属于验证阶段，D属于实施阶段。

威胁建模的核心输出物是？

A.安全测试报告

B.数据流图（DFT）

C.攻击树（AttackTree）

D.风险评估矩阵

答案：C

解析：攻击树通过结构化方式描述攻击路径，是威胁建模的核心交付物；B是输入工具，A/D是衍生成果。

二、多项选择题（共10题，每题2分，共20分）

1.下列哪些属于SDL的强制性安全实践？（）

A.使用静态代码分析工具（SAST）

B.实施模糊测试（Fuzzing）

C.强制双因素认证

D.最小权限原则设计

答案：ABD

解析：SAST、Fuzzing和最小权限是SDL核心实践；C属于身份认证设计选项，非强制要求。

威胁建模阶段应包含的活动有（）

A.资产价值评估

B.攻击面分析

C.安全代码审查

D.STRIDE分类法应用

答案：A