What is Gray Box Testing?

Il test Gray Box è un Application Security tecnica di test che mescola i test white box e black box. In una valutazione white box, il tester ha una conoscenza interna completa del sistema da testare (codice sorgente, documenti di progettazione, ecc.). Una valutazione black box viene eseguita senza alcuna conoscenza degli interni del sistema.

I test gray box dividono la differenza fornendo al valutatore una conoscenza parziale degli interni del sistema. Ad esempio, un tester gray box potrebbe non avere una conoscenza completa del codice sorgente di un'applicazione, ma potrebbe averne una conoscenza parziale e/o accedere alla documentazione di progettazione. Questo fornisce più informazioni rispetto ai test black box e meno rispetto a una valutazione white box.

Per saperne di più Valutazione dei rischi di sicurezza informatica

What is Gray Box Testing?

Strategia di test Gray Box

A gray box tester has more information than in a test a scatola nera e meno che in un test white box. Questo è intenzionale e consente a un tester gray box di combinare i vantaggi di entrambi gli approcci.

I test gray box possono migliorare l'efficienza e la copertura dei test di una valutazione black box, sfruttando appieno le informazioni fornite. Anche se un tester non ha accesso completo al codice sorgente dell'applicazione, ha una conoscenza e una documentazione sufficiente per comprendere le funzioni principali dell'applicazione. In questo modo è possibile progettare casi di test che si concentrano sulle funzionalità probabili e sui problemi di sicurezza, anziché eseguire test alla cieca.

I valutatori della scatola grigia dispongono di meno informazioni rispetto a un test a scatola bianca, il che può migliorare l'efficienza e il realismo del test. Riducendo il numero di input per la valutazione, il tempo può essere concentrato sui test attivi piuttosto che sull'elaborazione e la revisione del codice e della documentazione forniti. Inoltre, negare ai valutatori la piena conoscenza del sistema aiuta a evitare pregiudizi sul modo in cui un sistema è stato progettato per funzionare rispetto a come effettivamente funziona.

Passi per eseguire i test Gray Box

Una valutazione gray box è una valutazione strutturata basata sulla conoscenza disponibile del sistema in esame. Dovrebbe seguire questi passi:

  1. Identificare gli input in base alle tecniche di test white-box e black-box.
  2. Identificare gli output che questi input dovrebbero produrre in base alla documentazione fornita.
  3. Identificare i flussi di controllo primari che devono essere testati.
  4. Identificare le sottofunzioni importanti che dovrebbero essere sottoposte a test di livello profondo.
  5. Identificare gli input di una sottofunzione
  6. Identifica gli output che la sottofunzione deve produrre per gli input dati.
  7. Sviluppare ed eseguire un caso di test per questa sottofunzione.
  8. Verifichi che la sottofunzione produca il risultato atteso per il caso di test.
  9. Ripeta i passaggi 4-8 per tutte le sottofunzioni.

Tecniche di test Gray Box

I test Gray Box possono essere eseguiti in diversi modi, tra cui:

  • Test della matrice: Il test a matrice si concentra sulle variabili all'interno di un programma, enumerandole, valutando i rischi che comportano e verificando che siano utilizzate in modo corretto ed efficiente.
  • Test di regressione: Il codice può essere modificato per aggiungere funzionalità o risolvere problemi di sicurezza. Il test di regressione verifica che un'applicazione continui a superare i test dopo essere stata modificata.
  • Test dei modelli: I test di pattern analizzano il passato di un'applicazione per identificare le tendenze che hanno causato difetti in passato e che potrebbero farlo in futuro. I risultati di questi test possono essere utilizzati per evitare che questi problemi si ripresentino in futuro.
  • Test ortogonale ad array (OAT): L'OAT viene utilizzato con un'applicazione che ha pochi ingressi complessi. Utilizza le statistiche per creare un insieme di casi di test che fornisce una buona copertura di test senza l'overhead di un test esaustivo.

Black Box vs White Box Testing vs Gray box

I test black box, white box e gray box forniscono al tester diversi livelli di conoscenza degli interni del sistema da testare. A un estremo, il test white box fornisce un accesso completo al codice sorgente e alla documentazione di progettazione. Dall'altro, i tester black box non hanno alcuna conoscenza interna del funzionamento dell'applicazione.

Questi diversi livelli di conoscenza e di accesso hanno un impatto significativo sul processo di test. Alcune delle principali differenze includono:

  • Test Coverage: I test white box possono garantire la copertura completa dei test perché hanno accesso completo al codice, mentre i test black box non offrono tali garanzie. La scatola grigia si colloca nel mezzo, poiché i tester possono eseguire una certa pianificazione dei test sulla base della documentazione, ma sono ciechi di fronte a percorsi di codice non documentati e inaccessibili.
  • Posizione nell'SDLC: I test white box utilizzano il codice sorgente, per cui possono essere implementati in una fase iniziale. Pipeline CI/CD. I test gray e black box lavorano sul codice in esecuzione, quindi si collocano più avanti nell'SDLC.
  • Strumenti di analisi: I test white box utilizzano strumenti di analisi statica del codice per analizzare il codice sorgente. Utilizzo di test a scatola grigia e nera analisi dinamica del codice strumenti, come scansione delle vulnerabilitàper analizzare un'applicazione in esecuzione.
  • Tester Mindset: I test white box nascono dalla mentalità dello sviluppatore, mentre i test black box vengono eseguiti dalla prospettiva dell'utente. I test gray box dividono la differenza, eliminando i pregiudizi degli sviluppatori su come un'applicazione è stata progettata per funzionare, ma anche fornendo l'accesso a più informazioni rispetto all'utente medio.

Check Point CRT

Check Point’s Servizi Professionali Il portfolio può contribuire a sostenere gli sforzi di sicurezza applicativa di un'organizzazione. Le valutazioni di sicurezza white, gray e black box fanno parte del programma di Check Point. Servizi di resilienza e test di penetrazione per la sicurezza informatica.

Per saperne di più su come rafforzare il programma di sicurezza delle applicazioni della sua organizzazione con Check Point Servizi di test professionali. Inoltre, si senta libero di Contattaci per saperne di più su come un programma di test su misura possa aiutare a identificare e correggere i problemi di sicurezza all'interno della sua organizzazione.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK