È importante capire che i metodi di valutazione della sicurezza possono utilizzare i metodi black-box o white-box e possono essere basati su metodi automatici o manuali. Sono possibili tutte e 4 le combinazioni (ad es. Strumenti di pentesting automatici black-box, pentesting manuale black-box, scanner di codice sorgente automatico, revisione manuale del codice sorgente). Inoltre, è importante capire la differenza tra una revisione dell'architettura di sicurezza (in cerca di problemi di architettura / progettazione) e una valutazione del codice (alla ricerca di bug di implementazione); di solito, i metodi black-box e automatizzati sono principalmente focalizzati su quest'ultimo. Presumo che tu sia concentrato su una valutazione del codice, alla ricerca di bug di implementazione.
Con questo background, ecco una lista di controllo suggerita per aiutarti a decidere quale metodo usare:
-
Hai il codice sorgente? Se no, usa il test black-box. I metodi White-box richiedono il codice sorgente.
-
Hai mai fatto test di sicurezza, test delle penne, controlli del codice di sicurezza o altre valutazioni di sicurezza? Se no, usa il test black-box. È più economico. Inizia in piccolo e fatti strada.
-
Ci stai solo per rispettare un mandato o stai cercando di proteggere i tuoi sistemi? Se si tratta solo di conformità, scegli la risposta più economica che ti porterà alla casella di controllo (in genere test della black-box).
-
Se sei arrivato qui, dovrai eseguire un'analisi costi-benefici. Suggerirei di iniziare con i metodi più economici, usarli per migliorare il ciclo di vita dello sviluppo del software di sicurezza. Quindi inizia gradualmente passando ai metodi white-box e manuali e valuta il valore per la tua attività.
In generale, i test black-box sono più economici dei metodi white-box, ma il test black-box rileva meno bug . In generale, gli strumenti automatici sono meno costosi dei metodi manuali, si adattano molto meglio alle codebase di grandi dimensioni e sono più adatti a scansioni / revisioni periodiche, ma gli strumenti automatici potrebbero trovare meno errori rispetto ai metodi manuali .
Vedi anche White-box vs. Black-box , I test di penetration blackbox hanno senso se anche un controllo whitebox fosse possibile? , Costi e tempi previsti per il test della penna con scatola nera , Quanto costa un controllo di sicurezza ? . Non dimenticare di provare a usare la ricerca prima di pubblicare una nuova domanda - ci sono già molte cose buone su questo sito!