2026年安全开发生命周期专家考试题库（附答案和详细解析）（0514）.docxVIP

安全开发生命周期专家认证考试试卷

一、单项选择题（共10题，每题1分，共10分）

在安全开发生命周期（SDL）中，最核心的“零信任”原则要求开发团队在软件开发的哪个阶段就应将安全视为默认设置？A.需求分析阶段B.设计阶段C.编码阶段D.测试阶段

答案：B解析：SDL强调在设计阶段就通过架构设计和威胁建模来确定安全需求与控制措施，确立“默认安全”的基线。编码阶段主要实现设计，测试阶段主要验证，需求阶段主要确定功能。

下列哪种测试方法最适合用于在软件开发的早期阶段（如设计或编码初期）发现逻辑漏洞和业务逻辑缺陷？A.黑盒测试B.白盒测试C.渗透测试D.静态应用程序安全测试（SAST）

答案：B解析：白盒测试关注内部逻辑结构，适合开发早期发现逻辑漏洞。黑盒和渗透测试通常在开发后期进行。SAST虽然也在早期进行，但侧重于静态代码扫描，不如白盒测试直接针对逻辑漏洞。

某开发团队在代码审查过程中，发现一个用户输入框允许输入SQL语句，这属于SDL中的哪一类风险？A.跨站脚本攻击（XSS）B.SQL注入C.跨站请求伪造（CSRF）D.中间人攻击

答案：B解析：允许在输入框输入SQL语句是典型的SQL注入风险特征。

依据SDL流程，在编码完成后，必须执行哪种测试以确保代码中不包含已知的高危漏洞？A.系统集成测试（SIT）B.动态应用程序安