What is White Box Testing?

White-Box-Tests sind eine Form des Anwendungstests, die dem Tester vollständige Kenntnisse über die getestete Anwendung vermittelt, einschließlich Zugriff auf Quellcode und Designdokumente. Diese detaillierte Sichtbarkeit ermöglicht es White-Box-Tests, Probleme zu identifizieren, die für Gray- und Black-Box-Tests unsichtbar sind.

Mehr erfahren Cyber Security Risikobewertung

What is White Box Testing?

Worauf konzentrieren sich White-Box-Tests?

White-Box-Tests nutzen umfassende Kenntnisse über die internen Aspekte einer Anwendung, um zielgerichtete Testfälle zu entwickeln. Beispiele für Tests, die während des White-Box-Tests durchgeführt werden können, sind:

  • Pfadprüfung: Mithilfe von White-Box-Tests können die verschiedenen Ausführungspfade innerhalb einer Anwendung untersucht werden, um sicherzustellen, dass alle bedingten Anweisungen korrekt, notwendig und effizient sind.
  • Ausgabevalidierung: Dadurch werden die verschiedenen potenziellen Eingaben einer Funktion aufgelistet und sichergestellt, dass jede das erwartete Ergebnis liefert.
  • Sicherheitstests: Statische Codeanalyse und andere White-Box-Testtechniken werden verwendet, um potenzielle Schwachstellen innerhalb einer Anwendung zu identifizieren und zu validieren, dass sie den Best Practices für eine sichere Entwicklung folgt.
  • Schleifentest: Testet die Schleifen innerhalb einer Anwendung, um sicherzustellen, dass sie korrekt und effizient sind und die Variablen in ihrem Bereich ordnungsgemäß verwalten.
  • Datenflusstests: Verfolgt Variablen im gesamten Ausführungspfad eines Programms, um sicherzustellen, dass Variablen deklariert, initialisiert, verwendet und ordnungsgemäß bearbeitet werden.

Arten von White-Box-Tests

White-Box-Tests können für verschiedene Zwecke durchgeführt werden. Die drei Arten von White-Box-Tests sind:

  • Unit-Tests: Unit-Tests sollen sicherstellen, dass jede Komponente oder Funktion einer Anwendung ordnungsgemäß funktioniert. Dadurch wird sichergestellt, dass die Anwendung während des gesamten Entwicklungsprozesses den Designanforderungen entspricht.
  • Integrationstests: Integrationstests konzentrieren sich auf die Schnittstellen zwischen den verschiedenen Komponenten innerhalb einer Anwendung. Es wird nach dem Unit-Test durchgeführt und stellt sicher, dass nicht nur jede Komponente isoliert gut funktioniert, sondern auch, dass sie effektiv zusammenarbeiten können.
  • Regressionstests: Änderungen können zu Problemen innerhalb einer Anwendung führen. Regressionstests stellen sicher, dass der Code bestehende Testfälle weiterhin besteht, nachdem Funktionalitäts- oder Sicherheitsupdates an einer Anwendung vorgenommen wurden.

White-Box-Testtechniken

Einer der Hauptvorteile von White-Box-Tests besteht darin, dass sichergestellt werden kann, dass jeder Aspekt einer Anwendung getestet wird. Um eine vollständige Codeabdeckung zu erreichen, können beim White-Box-Testen die folgenden Techniken eingesetzt werden:

  • Erklärungsabdeckung: Durch das Testen der Anweisungsabdeckung wird sichergestellt, dass jede Codezeile innerhalb einer Anwendung von mindestens einem Testfall getestet wird. Das Testen der Anweisungsabdeckung kann helfen, festzustellen, ob Teile des Codes ungenutzt oder nicht erreichbar sind, was durch Programmierfehler, Aktualisierungen usw. verursacht werden kann. Durch die Identifizierung dieses toten Codes können Entwickler falsche bedingte Anweisungen korrigieren oder redundanten Code entfernen, um die Leistung und Sicherheit der Anwendung zu verbessern .
  • Filialabdeckung: Bedingte Anweisungen erstellen Verzweigungen im Ausführungscode einer Anwendung, da unterschiedliche Eingaben unterschiedlichen Ausführungspfaden folgen können. Das Testen der Zweigabdeckung stellt sicher, dass jeder Zweig innerhalb einer Anwendung durch Unit-Tests abgedeckt wird. Dadurch wird sichergestellt, dass auch wenig genutzte Codepfade ordnungsgemäß validiert werden.
  • Pfadabdeckung: Ein Ausführungspfad beschreibt die Abfolge von Anweisungen, die vom Start einer Anwendung bis zum Ende ausgeführt werden können. Beim Testen der Pfadabdeckung wird sichergestellt, dass jeder Ausführungspfad durch eine Anwendung durch Anwendungsfälle abgedeckt wird. Dadurch kann sichergestellt werden, dass alle Ausführungspfade funktionsfähig, effizient und notwendig sind.

Black-Box- vs. White-Box- vs. Grey-Box-Tests

Black Box, White Box und Grey Box sind drei Testansätze. Zu den Hauptunterschieden zwischen den drei gehören:

  • Verfügbare Information: Durch White-Box-Tests erhält der Evaluator umfassende Kenntnisse über das Zielsystem (Quellcode, Dokumentation usw.). Black-Box-Tests werden ohne interne Informationen durchgeführt, und Grey-Box-Tests sind eine Mischung, bei der der Prüfer über einige Informationen verfügt, z. B. Zugriff auf Designdokumente, aber keinen Quellcode.
  • Test Coverage: Der unterschiedliche Umfang der in den verschiedenen Bewertungen verfügbaren Informationen wirkt sich auf ihre Fähigkeit aus, die Testabdeckung zu gewährleisten. Mit vollem Zugriff auf den Quellcode können White-Box-Tests eine vollständige Abdeckung gewährleisten, während andere Techniken dies nicht können.
  • Zeitpunkt der Analyse: Da White-Box-Tests mit dem Quellcode funktionieren, können sie frühzeitig angewendet werden CI/CD-Pipelines. Gray-Box- und Black-Box-Tests erfordern eine laufende Anwendung, wodurch sie später im Softwareentwicklungslebenszyklus (SDLC) platziert wird.
  • Werkzeugverwendung: Mit Zugriff auf den Quellcode können White-Box-Tester statische Code-Analysetools verwenden, um Schwachstellen und andere Probleme im Code einer Anwendung zu identifizieren. Verwendung von Gray- und Black-Box-Testern dynamische Analysewerkzeuge, so wie ein Schwachstellenscanner, um mit einer laufenden Anwendung zu interagieren.
  • Tester Mindset: White-Box-Evaluatoren interagieren mit dem Quellcode einer Anwendung und versetzen sie in eine entwicklerähnliche Rolle. Gray-Box- und Black-Box-Tester interagieren mit einer Anwendung wie ein Benutzer. Dies ermöglicht es ihnen, sich mehr auf die tatsächliche Funktionsweise einer Anwendung zu konzentrieren, als darauf, wofür sie entwickelt wurde.

Check Point CRT

Check Point’s Professional Services kann die Anwendungssicherheitsanforderungen einer Organisation mit verschiedenen unterstützen Cybersicherheits-Resilienz-/Penetrationstestdienste. Dazu gehören White-, Gray- und Black-Box-Sicherheitsbewertungen.

Erfahren Sie mehr darüber, wie Check Point funktioniert professionelle Prüfdienstleistungen kann das DevSecOps-Programm Ihrer Organisation stärken. Gerne auch Kontaktieren Sie uns Hier finden Sie Informationen darüber, wie wir Ihnen bei der Suche und Behebung von Sicherheitsproblemen in Ihrem Unternehmen helfen können.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK