HDC 期间可参加华为开发者大会 Check 新人抽奖流动,流动链接在文末。无线鼠标等快来参加!
白盒测试、黑盒测试、动态应用程序平安测试 (SAST) 和 动静应用程序平安测试(DAST) 是软件测试和平安畛域中常见的术语。很多小伙伴分不清这四者到底有啥区别和关联,本文将做个简略的解释与辨别。
白盒测试
白盒测试也称为 构造测试,目标是查看代码的内部结构,包含管制流程、算法和数据处理。白盒测试对开发人员和 QA 测试人员来说是一种重要的测试方法,因为它能够发现源码中的破绽和缺点。白盒测试的劣势在于能够全面而深刻地查看代码的内部结构,包含无意或无心的缺点。
黑盒测试
黑盒测试也称为 功能测试,是一种基于需要标准的测试方法,和白盒测试不同的是,它不须要晓得软件系统外部的工作原理或代码逻辑。黑盒测试重点关注零碎的输出和输入,以验证零碎是否合乎需要标准。黑盒测试的劣势在于能够笼罩零碎的各个方面,并且能够在不理解零碎外部的状况下对其进行测试。
动态应用程序平安测试(SAST)
动态应用程序平安测试 (SAST) 在软件开发生命周期的晚期进行,应用一组自动化工具来查看源代码并查找软件中的潜在安全漏洞和许多类型的平安问题。SAST 的劣势在于能够帮忙发现并解决软件平安问题,缩短开发的工夫周期。
和白盒测试的关系
SAST 通常会被认为是一种白盒测试,它们都能够在代码级别上剖析和检测应用程序的安全性。
动静应用程序平安测试(DAST)
是一种在利用程序运行时进行测试的办法,它能够模仿攻击者的攻击行为,以确定应用程序中的潜在安全漏洞。它能够模仿一系列攻击行为,如 SQL 注入、跨站点脚本攻打和 DOS 攻打等,以检测应用程序中的破绽。
和黑盒测试的关系
DAST 通常会被认为是一种黑盒测试方法,它们都模仿了攻击者的行为来测试应用程序的安全性。
SAST 和 DAST 的区别
两者有以下不同点:
1、SAST 评估应用程序的源代码、字节码或二进制文件以查找安全漏洞;DAST 评估运行时应用程序的交互式行为,对应用程序进行模仿攻打来找到弱点。
2、SAST 依赖于代码或字节码而不是产品运行实例,通常能够更快地检测到所有缺点类型;DAST 则测试起来更实在,因为它评估应用程序的运行实例。
3、SAST 个别在后期开发阶段被提供;DAST 更重视模仿客户和攻击者的视角,个别在在应用程序部署后进行。
参考链接
1、[https://www.synopsys.com/blogs/software-security/sast-vs-dast…]()
抽奖链接:https://bbs.huaweicloud.com/forum/thread-0228123477957050003-…