What is Gray Box Testing?

Le test de la boîte grise est un application sécurité technique de test qui mélange les tests de la boîte blanche et de la boîte noire. Dans une évaluation en boîte blanche, le testeur a une connaissance interne complète du système testé (code source, documents de conception, etc.). Une évaluation en boîte noire est réalisée sans aucune connaissance des éléments internes du système.

Le test de la boîte grise permet de faire la différence en fournissant à l'évaluateur une connaissance partielle des éléments internes du système. Par exemple, un testeur de boîte grise peut ne pas avoir une connaissance complète du code source d'une application, mais peut en avoir une connaissance partielle et/ou avoir accès à la documentation de conception. Cela donne plus d'informations que les tests de la boîte noire et moins que l'évaluation de la boîte blanche.

En savoir plus Cyber Security Risk Assessment

What is Gray Box Testing?

Stratégie de test de la boîte grise

A gray box tester has more information than in a tests de la boîte noire et moins que dans un test en boîte blanche. Ceci est intentionnel et permet à un testeur de boîte grise de combiner les avantages des deux approches.

Les tests en boîte grise peuvent améliorer l'efficacité et la couverture des tests d'une évaluation en boîte noire en utilisant pleinement les informations fournies. Bien qu'un testeur n'ait pas un accès complet au code source de l'application, il dispose de suffisamment de connaissances et de documentation pour comprendre les fonctions essentielles de l'application. Cela permet de concevoir des cas de test qui se concentrent sur les fonctionnalités probables et les problèmes de sécurité, plutôt que de tester à l'aveuglette.

Les évaluateurs de la boîte grise disposent de moins d'informations que dans un test de la boîte blanche, ce qui peut améliorer l'efficacité et le réalisme du test. En réduisant le nombre de contributions à l'évaluation, le temps peut être consacré aux tests actifs plutôt qu'au traitement et à l'examen du code et de la documentation fournis. En outre, le fait de refuser aux évaluateurs une connaissance complète du système permet d'éviter les préjugés sur la manière dont un système est conçu pour fonctionner, par opposition à la manière dont il fonctionne réellement.

Étapes à suivre pour réaliser un test de la boîte grise

Une évaluation de la boîte grise est une évaluation structurée basée sur les connaissances disponibles du système testé. Il doit suivre les étapes suivantes :

  1. Identifier les intrants sur la base de techniques de test en boîte blanche et en boîte noire.
  2. Identifier les résultats que ces intrants devraient produire sur la base de la documentation fournie.
  3. Identifiez les principaux flux de contrôle à tester
  4. Identifier les sous-fonctions importantes qui devraient faire l'objet de tests approfondis
  5. Identifier les entrées d'une sous-fonction
  6. Identifier les résultats que la sous-fonction doit produire pour les données d'entrée données
  7. Élaborer et exécuter un scénario de test pour cette sous-fonction.
  8. Vérifiez que la sous-fonction produit le résultat attendu pour le cas de test.
  9. Répétez les étapes 4 à 8 pour toutes les sous-fonctions.

Techniques de test de la boîte grise

Les tests de la boîte grise peuvent être réalisés de différentes manières, notamment :

  • Test de la matrice : Les tests matriciels se concentrent sur les variables d'un programme, en les énumérant, en évaluant les risques qu'elles présentent et en vérifiant qu'elles sont utilisées correctement et efficacement.
  • Test de régression : Le code peut être modifié pour ajouter des fonctionnalités ou résoudre des problèmes de sécurité. Les tests de régression permettent de vérifier qu'une application passe toujours les tests après avoir été modifiée.
  • Test de modèle : Le test de modèle examine le passé d'une application afin d'identifier les tendances qui ont causé des défauts dans le passé et qui pourraient en causer à l'avenir. Les résultats de ces tests peuvent être utilisés pour éviter que ces problèmes ne se reproduisent à l'avenir.
  • Test de réseau orthogonal (OAT) : L'OAT est utilisé avec une application dont les entrées sont peu nombreuses et complexes. Il utilise des statistiques pour créer un ensemble de cas de test qui fournit une bonne couverture de test sans les frais généraux d'un test exhaustif.

Black Box vs White Box Testing vs Gray box

Les tests de la boîte noire, de la boîte blanche et de la boîte grise permettent au testeur d'avoir différents niveaux de connaissance des éléments internes du système testé. À un extrême, les tests en boîte blanche offrent un accès complet au code source et à la documentation de conception. D'autre part, les testeurs "boîte noire" n'ont aucune connaissance interne du fonctionnement de l'application.

Ces différents niveaux de connaissance et d'accès ont un impact significatif sur le processus de test. Voici quelques-unes des principales différences :

  • Test Coverage: Les tests en boîte blanche peuvent garantir une couverture complète des tests parce qu'ils ont un accès total au code, alors que les tests en boîte noire n'offrent pas de telles garanties. La boîte grise se situe au milieu, car les testeurs peuvent effectuer une certaine planification des tests sur la base de la documentation, mais sont aveugles aux chemins de code non documentés et inaccessibles.
  • Localisation dans le SDLC : Les tests en boîte blanche utilisent le code source et peuvent donc être mis en œuvre dès le début de la phase de développement. Pipelines CI/CD. Les tests en boîte grise et en boîte noire portent sur l'exécution du code, et se situent donc plus tard dans le cycle de développement durable.
  • Outils d'analyse : Les tests en boîte blanche utilisent des outils d'analyse statique du code pour analyser le code source. Utilisation des tests de la boîte grise et de la boîte noire analyse dynamique du code des outils, tels que analyse de la vulnérabilitépour analyser une application en cours d'exécution.
  • Tester Mindset: Les tests de la boîte blanche sont effectués du point de vue du développeur, tandis que les tests de la boîte noire sont effectués du point de vue de l'utilisateur. Les tests en boîte grise permettent de faire la part des choses, en éliminant les préjugés des développeurs sur la manière dont une application a été conçue pour fonctionner, mais aussi en donnant accès à plus d'informations que l'utilisateur moyen.

Check Point CRT

Check Point’s Services professionnels peut contribuer à soutenir les efforts de sécurité d'une organisation sur le site application. Les évaluations de sécurité de type "boîte blanche", "boîte grise" et "boîte noire" font partie des services de Point de contrôle. Services de tests de pénétration et de résilience en matière de cybersécurité.

Pour en savoir plus sur le renforcement du programme de sécurité application de votre organisation, consultez le site de Point de contrôle. services d'essais professionnels. N'hésitez pas non plus à Nous contacter pour en savoir plus sur la manière dont un programme de test personnalisé peut aider à identifier et à corriger les problèmes de sécurité au sein de votre organisation.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d’analyse et de marketing. En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies. Pour plus d’informations, veuillez lire notre Avis sur les cookies.
OK