2026年安全开发生命周期专家考试题库（附答案和详细解析）（0503）.docxVIP

安全开发生命周期专家考试试卷

一、单项选择题（共10题，每题1分，共10分）

在安全开发生命周期（SDLC）中，威胁建模通常在哪个阶段启动？

需求分析阶段

设计阶段

实现阶段

测试阶段

答案：A

解析：威胁建模应在需求分析阶段启动，以早期识别潜在安全威胁并定义安全需求。错误选项B、C、D涉及后续阶段，威胁建模若延迟会增加修复成本。

静态应用安全测试（SAST）主要用于检测哪种类型的安全问题？

运行时网络攻击

源代码中的安全缺陷

用户行为异常

硬件配置错误

答案：B

解析：SAST通过分析源代码或二进制代码，检测代码级漏洞如缓冲区溢出。选项A涉及动态测试，C和D不相关。

OWASPTop10主要关注哪类安全风险？

硬件故障风险

Web应用常见漏洞

数据库性能问题

网络协议缺陷

答案：B

解析：OWASPTop10是Web应用安全标准，列出如注入攻击等常见风险。选项A、C、D属于其他领域。

在SDLC中，安全需求应主要基于什么来源定义？

开发者个人经验

业务风险评估

外部市场压力

随机安全工具

答案：B

解析：安全需求应源于业务风险分析，确保与业务目标一致。选项A、C、D缺乏系统性。

动态应用安全测试（DAST）最适合在SDLC的哪个阶段执行？

需求分析

设计

实现

测试

答案：D

解析：DAST在测试阶段对运行中的应用进行黑盒测试，模拟攻击行