Le test de la boîte grise est un application sécurité technique de test qui mélange les tests de la boîte blanche et de la boîte noire. Dans une évaluation en boîte blanche, le testeur a une connaissance interne complète du système testé (code source, documents de conception, etc.). Une évaluation en boîte noire est réalisée sans aucune connaissance des éléments internes du système.
Le test de la boîte grise permet de faire la différence en fournissant à l'évaluateur une connaissance partielle des éléments internes du système. Par exemple, un testeur de boîte grise peut ne pas avoir une connaissance complète du code source d'une application, mais peut en avoir une connaissance partielle et/ou avoir accès à la documentation de conception. Cela donne plus d'informations que les tests de la boîte noire et moins que l'évaluation de la boîte blanche.
A gray box tester has more information than in a tests de la boîte noire et moins que dans un test en boîte blanche. Ceci est intentionnel et permet à un testeur de boîte grise de combiner les avantages des deux approches.
Les tests en boîte grise peuvent améliorer l'efficacité et la couverture des tests d'une évaluation en boîte noire en utilisant pleinement les informations fournies. Bien qu'un testeur n'ait pas un accès complet au code source de l'application, il dispose de suffisamment de connaissances et de documentation pour comprendre les fonctions essentielles de l'application. Cela permet de concevoir des cas de test qui se concentrent sur les fonctionnalités probables et les problèmes de sécurité, plutôt que de tester à l'aveuglette.
Les évaluateurs de la boîte grise disposent de moins d'informations que dans un test de la boîte blanche, ce qui peut améliorer l'efficacité et le réalisme du test. En réduisant le nombre de contributions à l'évaluation, le temps peut être consacré aux tests actifs plutôt qu'au traitement et à l'examen du code et de la documentation fournis. En outre, le fait de refuser aux évaluateurs une connaissance complète du système permet d'éviter les préjugés sur la manière dont un système est conçu pour fonctionner, par opposition à la manière dont il fonctionne réellement.
Une évaluation de la boîte grise est une évaluation structurée basée sur les connaissances disponibles du système testé. Il doit suivre les étapes suivantes :
Les tests de la boîte grise peuvent être réalisés de différentes manières, notamment :
Les tests de la boîte noire, de la boîte blanche et de la boîte grise permettent au testeur d'avoir différents niveaux de connaissance des éléments internes du système testé. À un extrême, les tests en boîte blanche offrent un accès complet au code source et à la documentation de conception. D'autre part, les testeurs "boîte noire" n'ont aucune connaissance interne du fonctionnement de l'application.
Ces différents niveaux de connaissance et d'accès ont un impact significatif sur le processus de test. Voici quelques-unes des principales différences :
Check Point’s Services professionnels peut contribuer à soutenir les efforts de sécurité d'une organisation sur le site application. Les évaluations de sécurité de type "boîte blanche", "boîte grise" et "boîte noire" font partie des services de Check Point. Services de tests de pénétration et de résilience en matière de cybersécurité.
Pour en savoir plus sur le renforcement du programme de sécurité application de votre organisation, consultez le site de Check Point. services d'essais professionnels. N'hésitez pas non plus à Nous contacter pour en savoir plus sur la manière dont un programme de test personnalisé peut aider à identifier et à corriger les problèmes de sécurité au sein de votre organisation.