问动态黑盒测试与静态白盒测试

EN

如果你一定要选择的话，那就进行黑盒测试吧。如果代码是完美的，如果它做了错误的事情，这是没有帮助的。测试还应该验证产品是否可以实际用于解决客户的问题。

也就是说，我不明白为什么您应该(或可以)将测试限制为只有一种类型。不同的策略会带来不同的问题，每种策略都要做一点，而不是花时间做一件事。

这取决于需求，但静态白盒测试更可取，因为有以下几点：

白盒总体上检测到许多类别的较高流行率，我们可以推理出具有较低的FN(假阴性)率。在7个类别中的5个类别中，静态优于动态：

• Credential/session prediction Traversal
• Insufficient Authorization
• OS Commandeering

• Injection

• Path Injection

SQL注入、路径遍历和OS征用可能比静态更好，因为这些都是静态的好方法，因为它们具有100%的代码覆盖率。