2026年安全开发生命周期专家考试题库（附答案和详细解析）（0405）.docxVIP

安全开发生命周期专家考试试卷

一、单项选择题（共10题，每题1分，共10分）

在安全开发生命周期（SDLC）中，威胁建模通常在哪个阶段进行？

A.需求分析阶段，用于收集安全功能需求

B.设计阶段，用于识别潜在威胁并设计缓解措施

C.实现阶段，用于编码时避免安全漏洞

D.测试阶段，用于验证安全控制有效性

答案：B

解析：威胁建模是SDLC设计阶段的核心活动，旨在通过系统化方法（如STRIDE模型）识别威胁并制定缓解策略。选项A错误，需求分析阶段聚焦需求收集而非威胁识别；选项C错误，实现阶段关注编码实践；选项D错误，测试阶段用于执行安全测试而非建模。

OWASPTop10中最常见的Web应用漏洞是？

A.注入攻击（如SQL注入）

B.跨站脚本（XSS）

C.敏感数据暴露

D.安全配置错误

答案：A

解析：根据OWASP最新报告，注入攻击（如SQL注入）是Top10中排名第一的漏洞。选项B（XSS）是第二常见；选项C和D虽常见，但非首位，因此错误。

安全开发生命周期的核心原则“最小权限”指的是？

A.用户应仅拥有完成其任务所需的最低权限

B.系统应使用最少的资源以减少攻击面

C.开发人员应限制代码复杂度

D.测试阶段应覆盖所有可能的场景

答案：A

解析：最小权限原则要求用户或系统组件仅获得必要权限，以降低权限滥用风险。选项B错误，它描述资源优化而非权限控制