如果我们必须在动态黑盒测试和静态白盒测试之间做出选择,我们应该更喜欢哪一个?动态黑盒测试是在不了解底层代码的情况下进行测试,而静态白盒测试是在不执行代码的情况下进行代码审查。
问问题
1466 次
2 回答
1
如果您必须选择,请进行黑盒测试。如果代码做错了,如果代码处于完美状态,这将无济于事。测试还应验证产品是否可以实际用于解决客户的问题。
也就是说,我不明白为什么您应该(或可以)将测试限制为仅一种类型。不同的策略会带来不同的问题,最好每一种都做一点,而不是把所有时间都花在做一件事上。
于 2012-12-12T19:21:30.513 回答
0
这取决于要求,但由于以下几点,静态白盒测试更可取:
白盒总体检测到许多类别的较高流行率,我们可以推断出具有较低的 FN(假阴性)率。 在 7 个类别中的 5 个类别中,静态优于动态:
- 凭证/会话预测
- SQL 注入
- 路径遍历
- 授权不足
- 操作系统霸权
SQL 注入、路径遍历和操作系统征用可能通过静态更好,因为这些是静态的好方法,具有 100% 的代码覆盖率。
于 2013-12-10T11:23:46.083 回答