我日常也做白盒测试,以代码走查方式为主,但对于行业内的白盒测试,有着不清晰的概念,希望可以探讨一下。比如有什么工具或者其他方式~
同问,最近刚刚上手白盒测试,也是通过 review 代码的方式去测。有没有别的方法?
业务:review
编码规范:sonar
安全审计:checkmarx
白盒主要是业务啊。
安全和规范这块应该不是测试管吧。
为何木有大佬回复指导一下
对
小白白
回复
小白白
回复
一般大公司,安全都是专门的人做的(一般是运维岗),漏洞扫描等等,一些不该对外暴露的接口,目录权限等等。还有是否需要走专线,权限隔离等等。这些基本上不属于测试的范围了。。。
白盒的话,主要还是对代码的解读,逻辑上,是否是按照业务要求实现的代码,写作上命名是否合理,函数的定义和 return 是否合理,(开发命名和函数 return 的不是一个东西,这种都是有的。),边界条件通过代码去检查也是很快很好的方法
sonar 其实也是个很好的辅助手段,在引入 sonar 后,我们开发的创作习惯明显变好了。因为他会建议我们改掉很多不推荐的用法。