What is Gray Box Testing?

그레이 박스 테스트는 애플리케이션 보안 화이트박스와 블랙박스 테스트를 혼합한 테스트 기술. 화이트 박스 평가에서 테스터는 테스트 중인 시스템(소스 코드, 설계 문서 등)에 대한 완전한 내부 지식을 가지고 있습니다. 블랙박스 평가는 시스템 내부에 대한 지식 없이 수행됩니다.

그레이 박스 테스트는 평가자에게 시스템 내부에 대한 부분적인 지식을 제공하여 차이를 나눕니다. 예를 들어, 그레이 박스 테스터는 애플리케이션의 소스 코드에 대한 완전한 지식은 없지만 부분적인 지식 및/또는 디자인 문서에 대한 액세스 권한은 있을 수 있습니다. 이는 블랙박스 테스트보다 더 많은 통찰력을 제공하고 화이트박스 평가보다 적습니다.

자세히 알아보기 Cyber Security Risk Assessment

What is Gray Box Testing?

그레이 박스 테스트 전략

A gray box tester has more information than in a 블랙박스 테스트 화이트 박스 테스트보다 적습니다. 이는 의도적인 것이며 그레이 박스 테스터가 두 가지 접근 방식의 이점을 결합할 수 있도록 합니다.

그레이 박스 테스트는 제공된 정보를 최대한 활용하여 블랙박스 평가의 효율성과 테스트 범위를 개선할 수 있습니다. 테스터는 애플리케이션 소스 코드에 대한 전체 액세스 권한을 가지고 있지는 않지만 애플리케이션의 핵심 기능을 이해할 수 있는 충분한 지식과 문서를 가지고 있습니다. 이렇게 하면 맹목적으로 테스트하는 대신 가능한 기능 및 보안 문제에 초점을 맞춘 테스트 사례를 디자인할 수 있습니다.

회색 상자 평가자는 흰색 상자 테스트보다 정보가 적기 때문에 테스트의 효율성과 현실성을 향상시킬 수 있습니다. 평가에 대한 입력 수를 줄이면 제공된 코드 및 설명서를 처리하고 검토하는 대신 활성 테스트에 시간을 집중할 수 있습니다. 또한 평가자가 시스템에 대한 완전한 지식을 거부하면 시스템이 실제로 작동하는 방식과 달리 작동하도록 설계된 방식에 대한 편견을 피하는 데 도움이 됩니다.

그레이 박스 테스트 수행 단계

회색 상자 평가는 테스트 중인 시스템에 대한 사용 가능한 지식을 기반으로 하는 구조화된 평가입니다. 다음 단계를 따라야 합니다.

  1. 화이트박스 및 블랙박스 테스트 기법을 기반으로 입력 식별
  2. 제공된 문서를 기반으로 이러한 입력이 생성해야 하는 출력을 식별합니다
  3. 테스트해야 하는 기본 제어 흐름 식별
  4. 심층적인 테스트를 받아야 하는 중요한 하위 기능 식별
  5. 하위 함수에 대한 입력 식별
  6. 하위 함수가 주어진 입력에 대해 생성해야 하는 출력을 식별합니다.
  7. 이 하위 기능에 대한 테스트 케이스 개발 및 실행
  8. 하위 함수가 테스트 사례에 대한 예상 결과를 생성하는지 확인합니다.
  9. 모든 하위 기능에 대해 4-8단계를 반복합니다

그레이 박스 테스트 기법

그레이 박스 테스트는 다음과 같은 몇 가지 방법으로 수행할 수 있습니다.

  • 매트릭스 테스트: 매트릭스 테스트는 프로그램 내의 변수에 초점을 맞추고, 변수를 열거하고, 변수가 제기하는 위험을 평가하고, 올바르고 효율적으로 사용되는지 테스트합니다.
  • 회귀 테스트: 기능을 추가하거나 보안 문제를 해결하기 위해 코드를 수정할 수 있습니다. 회귀 테스트는 애플리케이션이 수정된 후에도 테스트를 통과하는지 확인합니다.
  • 패턴 테스트: 패턴 테스트는 애플리케이션의 과거를 조사하여 과거에 결함을 일으켰고 미래에도 결함을 일으킬 수 있는 추세를 식별합니다. 이러한 테스트의 결과는 향후 이러한 문제가 재발하지 않도록 하는 데 사용할 수 있습니다.
  • 직교 배열 테스트(OAT): OAT는 몇 가지 복잡한 입력이 있는 애플리케이션과 함께 사용됩니다. 통계를 사용하여 철저한 테스트의 오버헤드 없이 좋은 테스트 커버리지를 제공하는 테스트 사례 집합을 만듭니다.

Black Box vs White Box Testing vs Gray box

블랙박스, 화이트박스, 그레이박스는 테스터에게 테스트 중인 시스템 내부에 대한 다양한 수준의 지식을 제공합니다. 극단적인 경우, 화이트 박스 테스트는 소스 코드 및 설계 문서에 대한 완전한 액세스를 제공합니다. 다른 한편으로, 블랙박스 테스터는 애플리케이션 작동 방식에 대한 내부 지식이 없습니다.

이러한 다양한 수준의 지식과 접근성은 테스트 프로세스에 큰 영향을 미칩니다. 주요 차이점 중 일부는 다음과 같습니다.

  • Test Coverage: 화이트 박스 테스트는 코드에 대한 전체 액세스 권한이 있기 때문에 완전한 테스트 커버리지를 보장할 수 있지만 블랙 박스 테스트는 이러한 보장을 제공하지 않습니다. 테스터는 문서를 기반으로 일부 테스트 계획을 수행할 수 있지만 문서화되지 않고 액세스할 수 없는 코드 경로에는 눈이 멀기 때문에 회색 상자는 중간에 속합니다.
  • SDLC에서의 위치: 화이트박스 테스트는 소스 코드를 사용하므로 초기에 구현할 수 있습니다. CI/CD 파이프라인. 그레이 및 블랙 박스 테스트는 실행 중인 코드에서 작동하므로 SDLC의 뒷부분에 속합니다.
  • 분석 도구: 화이트박스 테스트는 정적 코드 분석 도구를 사용하여 소스 코드를 분석합니다. 회색 및 블랙 박스 테스트 사용 동적 코드 분석 다음과 같은 도구 취약점 검사를 사용하여 실행 중인 애플리케이션을 분석합니다.
  • Tester Mindset: 화이트박스 테스트는 개발자의 마음가짐에서 비롯된 반면, 블랙박스 테스트는 사용자 관점에서 수행됩니다. 그레이 박스 테스트는 차이점을 분할하여 애플리케이션이 작동하도록 설계된 방식에 대한 개발자의 편견을 없애고 일반 사용자보다 더 많은 정보에 액세스할 수 있도록 합니다.

Check Point CRT

Check Point’s 프로페셔널 서비스 포트폴리오는 조직의 애플리케이션 보안 노력을 지원하는 데 도움이 될 수 있습니다. 흰색, 회색 및 블랙박스 보안 평가는 체크 포인트의 일부입니다. 사이버 보안 복원력/침투 테스트 서비스.

체크 포인트로 조직의 애플리케이션 보안 프로그램을 강화하는 방법에 대해 자세히 알아보세요. 전문 테스트 서비스. 또한, 부담없이 연락처 맞춤형 테스트 프로그램에 대해 자세히 알아보고 조직 내에서 보안 문제를 식별하고 수정하는 데 도움이 됩니다.

×
  피드백
이 웹사이트는 기능 및 분석, 마케팅 목적으로 쿠키를 사용합니다. 이 웹사이트를 계속 이용하면 쿠키 사용에 동의하는 것입니다. 자세한 내용은 쿠키 관련 공지사항을 참조하세요.