假设我负责我公司的一个应用程序,我决定聘请安全专家来执行安全审计。让我们进一步假设我的公司拥有应用程序的源代码,我可以将其交给聘请的专家。
是否有充分的理由更喜欢黑盒渗透测试而不是安全源代码审查?在我看来,源代码审计比黑盒渗透测试更快、更有效地识别关键漏洞。当我可以向他提供系统配置和源代码等内部信息以帮助他更好地指导他的工作时,我为什么要让安全专家在黑暗中敲打我的应用程序。
为避免混淆——当我谈到安全源代码审查时,我假设我将允许安全专家也对应用程序执行测试,以验证他们的发现并尝试不同的攻击。审计的目标是识别弱点并在之后提高应用程序的安全性。
源代码审查通常比黑盒渗透测试更有效。@Demento,您清楚地阐明了原因。而且,除了这些第一原则的理由之外,经验性的源代码审查发现比黑盒渗透测试更多的漏洞。如果源代码审查与架构风险分析(微软称之为威胁建模)相结合,则尤其如此。
黑盒渗透测试的一大优势是它的成本要低得多,而且需要的专业知识也少。这就是你看到这么多人使用黑盒渗透测试的原因之一:它便宜得多,而且仍然可以捕获很大一部分漏洞。
就个人而言,我建议如果你使用源代码审查,你也应该将它与黑盒渗透测试结合起来。黑盒渗透测试的成本只是源代码审查成本的一小部分。经验数据表明,黑盒渗透测试 + 源代码审查发现的错误比单独发现的要多。因此,即使您已经在进行源代码审查,黑盒渗透测试的边际效用可能也是值得的。