對這文章發表回應

軟體測試
（英文 ： Software Testing ），描述一種用來促進鑑定軟體 的 正確性 、
完整性 、 安全性 、和 品質 的過程。
換句話說，軟體測試是一種實際輸出與預期輸出間的 稽核 或者 比較 過程。

就測試的模式而言，「黑箱」與「白箱」在測試領域是很通俗的說法。 白箱測試（White-Box Testing）是以測試的深度為主，可分為 資料流程面（Data Flow Coverage） 及
控制流程面（Control Flow Coverage） 等兩個層面，資料流程面就是測試資料在程式內所經過的流程；而控制流程面，是測試程式在執行過程中每個階段的流程。 白箱測試也稱為 結構性測試(Structural Testing)、 透明盒測試glass box testing ，測試時，測試人員必須掌握程式原始碼，瞭解其內部運作，包含資料流程及程式控制流程，常見的白箱測試工具有原始碼掃瞄，如Fortify、CodeSecure等。

白箱測試可以應用於 單元測試(unit testing) 、 整合測試(integration testing) 和 系統的軟體測試流程
，可測試在整合過程中每一單元之間的路徑，或者主系統跟子系統中的測試。儘管這種測試的方法可以發現許多的錯誤或問題，它可能無法檢測未使用部分的規範。

                                                                                                                                                                  

而
黑箱測試（Black-Box Testing） 則不需要對軟體的內部結構有深層的了解，直接就功能面來驗證。所以在程式碼的安全性檢測方面，黑箱就是所謂的「動態程式碼安全性檢測」，其中「動態」是指應用程式處於執行期的狀態，黑箱的手法則是模擬駭客的攻擊，測試系統有沒有漏洞。而 白箱就是「靜態程式碼安全性檢測」 ，它直接掃描程式寫法。 黑箱測試 使用已知的 攻擊樣板(Pattern) 進行檢測，如IBM AppScan與HP WebInspect。

測試應用程式的功能，而不是其內部結構或運作。

測試者只需知道什麼是系統應該做的事，即當鍵入一個特定的輸入，可得到一定的輸出。

測試者選擇有效輸入和無效輸入來驗證是否正確的輸出。

黑箱測試
方法可適合大部分的軟體測試，例如 單元測試(unit testing)、整合測試(integration testing)以及系統測試(system testing) 。

圖片來源

在早期黑箱與白箱模式，都是透過人工進行驗證。白箱就是人工審查（Code Review），由資深的工程師或顧問檢視寫法是否有不安全的寫法。而黑箱就是「滲透測試」，請專家模擬駭客的入侵模式，測試系統的安全性強度。

不過，人工的成本較高、效率較低，而檢驗的成效與檢測者當時的專注力、情緒及功力強烈相關，而且不容易做到全面的檢查。因此自動化工具應運而生，企業假如導入此類方案，可以頻繁且效率化地檢測系統的安全性。

------------------------------------------------------------------------------------------------------------

參考：

1.

2.

http://programfeelings.blogspot.tw/2011/03/blog-post.html

3.

http://newsletter.certcc.org.tw/epaper/201202/report2_1.html

4.維基

http://zh.wikipedia.org/wiki/%E8%BB%9F%E9%AB%94%E6%B8%AC%E8%A9%A6