¿Son las pruebas de caja negra más exigentes técnicamente que las pruebas de caja blanca?
He estado haciendo pruebas de caja negra durante más de 4 años. Soy un probador de caja negra absoluto, pero tengo derecho a acceder al código fuente. Haciendo pruebas de caja negra, pero no tengo menos información que un probador de caja blanca. A medida que mi experiencia y mis habilidades en las pruebas de caja negra mejoraron, de repente descubrí que me había vuelto completamente dependiente de la información proporcionada por el código fuente. Sin el código fuente, mis esfuerzos de prueba de caja negra serían mucho más complejos y difíciles, si no imposibles. Esto también me hace sentir firmemente que las pruebas de caja negra son más difíciles que las de caja blanca.
En el libro "El arte de la investigación y las pruebas de software" publicado por Symantec, existe tal afirmación. Creo que este libro es normal, pero encarna una verdad: "Para las pruebas de caja blanca, una empresa puede crear un equipo de pruebas, pero para las pruebas de caja negra, pocas empresas tienen esta capacidad, por lo que solo pueden contratar forasteros". Una empresa profesional, el costo es alto, pero vale la pena".
¿Por qué la mayoría de nosotros, incluyéndome a mí, pensamos que las pruebas de caja negra no son tan técnicas como las pruebas de caja blanca? Esto se debe a que la mayoría de nosotros realizamos pruebas de caja negra de gama baja. Hace mucho tiempo se me ocurrió que los piratas informáticos utilizan pruebas de caja negra para encontrar vulnerabilidades de seguridad. ¿Cómo podemos decir que la tecnología de prueba de caja negra es baja? A medida que mi nivel se acerca a la dirección de un hacker, tengo una comprensión y una experiencia más profundas y ricas.
Si calificamos las habilidades de los recién llegados que acaban de ingresar al campo de pruebas de caja negra con 0 puntos y las habilidades de los piratas informáticos con 5 puntos, entonces tengo la siguiente lista según el nivel técnico:
0. Novato en pruebas
1. Pruebas manuales de caja negra
2. Pruebas automatizadas de caja negra
3.
Prueba de seguridad 5. Hackers, tengan en cuenta que muchas personas confían en empresas, equipos y proyectos para mejorar sus habilidades de prueba. Mi propio trabajo en la empresa consiste únicamente en realizar pruebas de automatización de caja negra, pero esto no afecta mi desarrollo en una dirección superior. Ahora que Internet está tan desarrollado, ¿qué información no se puede encontrar? Varios libros de informática, diversos foros de intercambio de tecnología informática, blogs, etc. Mucha gente piensa que cambiar de trabajo puede desarrollar mejor la tecnología de prueba. Esto también es incorrecto. Para ser honesto, el desarrollo personal es esencialmente un problema personal, no un problema de la empresa, ni de su líder o gerente. Dado que la empresa lo quiere, significa que sus propias habilidades y niveles están cerca de los requisitos de la empresa para usted. La empresa ya tiene expectativas puestas en usted, lo que significa que está cualificado para el puesto y un mayor desarrollo no forma parte de las expectativas que la empresa tiene de usted. En la mayoría de los casos depende del individuo. Por lo tanto, personalmente creo que en cualquier entorno de trabajo y contenido laboral, tienes espacio para mejorar tus habilidades, pero debes impulsarlo tú mismo y no depender demasiado del entorno externo. Desde pequeño, he dependido principalmente del autoestudio y rara vez escuchaba atentamente las lecciones del maestro. Incluyendo muchas de mis capacitaciones ahora, la gente simplemente se va sin escuchar, o algunos simplemente se inscriben y se van. Este tipo de personalidad mía ha creado mi capacidad de aprendizaje independiente y planifico mi aprendizaje por mí mismo. No sé si puedo aprender de ello.
Por otro lado, como todo el mundo debería estar familiarizado con los niveles 0, 1 y 2, quiero hablar de los niveles 3, 4 y 5.
Como evaluador de caja negra, nadie le pedirá que no tenga la capacidad de realizar pruebas de caja blanca. Si tiene acceso al código fuente, está bien. Puede aprovechar esto y aplicar la información obtenida mirando el código fuente a sus pruebas de caja negra. Si no tiene la capacidad de acceder al código fuente, eso no le impide explorar y practicar en este campo.
Si su proyecto es Java,
NET, puede descompilarlo, si su proyecto es C,
4. La diferencia fundamental entre las pruebas de seguridad y las pruebas de caja blanca radica en el conocimiento de la seguridad y La mente de un hacker. Hay un libro "WritingSecureCode" que menciona "Puedes entrenar a una persona para que pueda probar características de seguridad. Es difícil entrenar a una persona para que tenga la forma de pensar de un hacker. Si encuentras a esa persona, la contratas". Las personas en este nivel deben tener una buena conciencia de seguridad, conocer varios métodos de ataque y emitir juicios de seguridad al descubrir un error, como "si es una vulnerabilidad de seguridad", "si puede ser explotado por piratas informáticos" y "qué tan grave". es." etc. Del mismo modo, su propio contenido de prueba debe incluir una gran cantidad de casos de prueba de seguridad.
En el pasado, pensaba que muchos años de experiencia en desarrollo eran una condición necesaria para las pruebas de seguridad o las pruebas de alto nivel, lo que puede no demostrarse con la práctica. Del mismo modo, si desea realizar pruebas de alto nivel, no es necesario recurrir primero a pruebas de caja blanca. Desde mi experiencia personal, mientras tengas tu propio corazón y mente, siempre podrás desarrollarte y mejorar. El entorno externo es importante, pero eres tú quien lo determina. Las pruebas de seguridad están completamente fuera de la descripción de mi trabajo, pero en el espacio de un mes, descubrí cuatro vulnerabilidades de seguridad seguidas.