L’attuale industria dei software si avvale dell’utilizzo di avanzati sistemi di produzione e sviluppo dei propri prodotti. L’iter produttivo sta dunque affinando i suoi meccanismi ed è in quest’ottica che sono stati introdotti differenti tipi di penetration test. Si tratta di verifiche che hanno lo scopo di andare a stabilire la solidità e affidabilità di un codice prima che venga rilasciato in commercio.
Tali tecniche di controllo si distinguono principalmente per la quantità di informazioni a disposizione del tester e ai privilegi che gli vengono forniti dal committente del test. L’obiettivo è sempre quello di individuare ipotetiche falle e vulnerabilità prima che a farlo siano i cybercriminali.
Andando nello specifico, una delle metodologie più diffuse di software testing è il cosiddetto white box test o test della scatola bianca che presuppone di poter disporre delle specifiche del software e dei meccanismi con i quali la funzione è stata poi implementata.
La metafora della scatola trasparente significa che è possibile vederne il contenuto, ma anche capire i metodi con cui è stato inserito all’interno. Proviamo quindi a comprendere come funziona il white box testing e in cosa si differenzia dal suo opposto, cioè dal black box testing.
Cosa sono i white box test?
Il white box testing è una particolare metodologia di test del software che si basa sul controllo della progettazione e struttura interna di un software, diversamente dagli output esterni oppure dalla user experience che vengono invece testati dal black box testing.
In realtà l’espressione white box test raccoglie tutta una serie di altri test, tra i quali quelli più frequenti sono i test di integrazione e i test unitari. I white box test in genere si occupano di verificare il codice del programma e dunque la loro esecuzione necessita di una elevata conoscenza della programmazione informatica.
Come già accennato, questo tipo di test sono condotti da personale specializzato per sollecitare un sistema e scovare eventuali difetti e vulnerabilità che potrebbero essere sfruttare da hacker e malintenzionati. A svolgere i white box test sono i penetration tester, ai quali vengono date informazioni sulla struttura interna del software.
Si tratta quindi non di un attacco frontale simulato in senso stretto, ma piuttosto di un’analisi ragionata del comportamento del programma da analizzare. È possibile monitorare il funzionamento del codice, assicurandosi che gli input producano gli output previsti.
Oggi ad occuparsi del white box testing sono soprattutto ingegneri del software e sviluppatori perché è richiesta una notevole competenza in materia di codici informatici e tecniche di codifica. Come per altre categorie di test del software, anche in questo caso ci si può affidare all’automazione. Volendo si può scegliere tra test manuale e automatizzato, ma sempre più spesso le aziende preferiscono automatizzare il tutto per ridurre le tempistiche e abbattere i costi.
Tipologie di white box test
Esistono molti generi differenti di white box test e ogni categoria è pensata per controllare dettagli e aspetti diversi della composizione interna del codice. Ecco quali sono i principali white box test da poter condurre:
- Test del loop: è uno dei più importanti white box test perché ha lo scopo di individuare i loop presenti dentro il codice del software. I loop si trovano negli algoritmi del codice e con tale test è possibile verificare la loro validità e capire se esistono aree in cui è necessario correggere il codice;
- Test del percorso: noto come path testing, è una forma di test che sfrutta la struttura di controllo del software. Lo sviluppatore utilizza tale struttura per costruire un grafico del flusso di controllo e valutare vari percorsi nel grafico. In poche parole, il test del percorso si assicura che il sistema segua tutti i passi giusti secondo le condizioni prestabilite dai dati;
- Test condizionato: questa tipologia di test serve a capire se le condizioni logiche per i valori del codice sono false o vere. È utile per indicare allo sviluppatore se il codice del software è logico, ovvero se risponde ai requisiti logici di programmazione;
- Test unitario: in questo caso il tester verifica i singoli moduli o componenti del programma per accertarsi che funzionino a dovere prima di integrare tra loro le varie unità. Quindi si verificano piccoli segmenti di codice per volta ed è più facile trovare errori e bug quando si verificano;
- Test di mutazione: con il seguente test si analizzano le mutazioni e le alterazioni del software. Gli sviluppatori o ingegneri inseriscono piccole modifiche al codice per comprendere se da ciò può generarsi un bug. Se il caso di test passa, vuole dire che c’è qualche difetto nel codice poiché non dovrebbe passare dopo l’aggiunta delle modifiche;
- Test di integrazione: il test di integrazione ha l’obiettivo di controllare se i differenti moduli del programma funzionano bene quando sono integrati con altri moduli. Per esempio, quando un database reperisce informazioni online, i test di integrazione verificano che i dati siano accurati e vadano ad aggiornarsi con costanza.
I benefici derivanti dal white box testing
I white box test permettono agli sviluppatori di poter testare più elementi del codice e dunque sono una categoria di testing mediamente più completa in quanto possiamo conoscere molte più informazioni su come funziona il codice. Infatti, un codice efficiente e preciso è fondamentale per sviluppare un programma di qualità. Vediamo quali sono i vantaggi più importanti dell’affidarsi al white box testing.
- Massimizzazione della copertura dei test: grazie ai white box test è possibile contribuire a massimizzare al meglio la copertura dei test. Andare ad analizzare la maggior parte del codice del software generalmente aumenta le possibilità di trovare errori o bug. Insomma, con i white box test si può mappare il codice nella sua interezza;
- Individuare difetti e bug di sistema: il principale beneficio dei white box test è legato al fatto che vanno a testare le funzionalità interne ed è quindi più semplice per gli sviluppatori scovare bug ed errori che altrimenti rimarrebbero sepolti nel codice. Oltre a identificare gli errori, è anche più facile comprendere con precisione la posizione del bug grazie alla natura specifica di questi test;
- Semplicità di automazione: automatizzare i white box test è abbastanza facile, specialmente se si tratta di test unitari, cioè quelli che vanno a testare piccoli pezzetti di codice per volta. Per tale ragione, i test unitari solitamente si eseguono prima di altri tipi di test;
- Riduzione dei tempi di sviluppo: i test white box sono molti efficienti per quanto riguarda la velocizzazione delle tempistiche di progettazione e sviluppo. Inoltre, è molto agevole automatizzare questo genere di test che sono molto più veloci da eseguire, nonché affidabili;
- Migliore qualità del codice: con il white box testing gli sviluppatori possono verificare una seconda volta il codice scritto per essere certi della pulizia e della qualità. Eseguendo un’analisi dei singoli pezzi e moduli, hanno la possibilità di eliminare le parti di codice da ripulire, rendendone più semplice la modifica in futuro.
White box testing vs black box testing: le principali differenze
Quando si parla di white box testing è indispensabile capire con precisione in cosa si distingue rispetto al black box testing. Quest’ultimo è una tipologia di test del software che si differenzia soprattutto per il fatto di non avere nessuna conoscenza o informazione sulla struttura interna del codice o di come implementarlo.
Il termine black box si riferisce al fatto che il tester è all’oscuro sulle nozioni di base del codice e si limiterà semplicemente a controllare le uscite esterne del programma, ovvero a verificare quello che l’utente finale andrà a sperimentare. Il black box testing non avviene con accessi privilegiati, ma simula in maniera più veritiera un attacco esterno al software.
Questi test sono conosciuti come test comportamentali in quanto analizzano il comportamento del software in precise situazioni e sono impiegati per essere certi che il sistema funzioni a dovere quando agisce nel suo complesso.
Altro elemento distintivo è che i black box test hanno bisogno di minori conoscenze tecniche in ambito di programmazione rispetto ai white box test che sono più complessi e lunghi e di conseguenza possono essere svolti anche da chi non è sviluppatore. Infine, è bene dire che i test black box sono più difficili da automatizzare di quelli white box perché necessitano di strumenti di automazione del software.