2026年安全开发生命周期专家考试题库（附答案和详细解析）（0507）.docxVIP

安全开发生命周期专家考试试卷

一、单项选择题（共10题，每题1分，共10分）

1.安全开发生命周期（SDLC）中最关键的初始阶段是什么？

A.设计阶段，用于创建系统架构

B.需求分析阶段，用于收集安全需求

C.开发阶段，用于编写安全代码

D.测试阶段，用于执行安全测试

答案：B

解析：需求分析阶段是SDLC的起点，专注于识别和定义安全需求（如OWASPASVS标准），确保安全从源头集成；选项A、C、D虽涉及安全，但非初始阶段，需求分析为后续活动奠定基础。

OWASPTop10中最常见的web应用风险是什么？

A.跨站脚本（XSS）

B.注入攻击

C.敏感数据暴露

D.安全错误配置

答案：B

解析：注入攻击（如SQL注入）是OWASPTop10的首要风险，因攻击者可通过恶意输入执行未授权命令；选项A、C、D虽常见，但统计数据显示注入攻击频率最高。

威胁建模的主要目的是什么？

A.修复已发现的漏洞

B.识别潜在安全威胁

C.优化系统性能

D.编写安全需求文档

答案：B

解析：威胁建模旨在早期识别威胁（如使用STRIDE模型），以预防风险；选项A是修复阶段任务，C和D不直接关联威胁建模。

静态应用程序安全测试（SAST）通常在哪个SDLC阶段进行？

A.需求分析

B.设计

C.开发

D.部署

答案：C

解析：SAST在开发阶段分析源代码，发现漏