白盒測試可以用自動化工具來完成嗎？

感謝邀請，確實隨著當前應用系統代碼復雜度的提升，靠手工進行白盒測試無疑是對人力資源的很大浪費，也很容易造成軟件Bug、系統安全漏洞的出現。針對這種情況，現在國際上新推出了一個“CISQ軟件結構化質量評估維度和方法”的有關測試標準。

CISQ所制訂的代碼質量標準是通過對整個軟件結合上下文關系，理清應用從最前端輸入到界面、到業務邏輯、到框架、到數據邏輯，直到最終的存儲上的所有功能點。將這些層次連貫起來，來查看軟件的上下文關系，從而了解系統每個交易是如何完成的，每個步驟的行進路徑是什么，從系統層面上去對整個軟件架構進行分析。

現在有企業依照此標準制做了一個自動化軟件測試平臺，也就是上圖中的“CAST應用智能平臺”。

CAST支持了50多種不同的編程技術，從JAVA、C、.NET到大型機的編程語言CAST均進行了支持。同時還支持12種數據庫，Oracle、SQLServer等。明確編程語言和所采用數據庫后，再加上一些編程團隊的有關信息。將這些內容輸入到分析器中，由分析器進行格式化整理并建立元模型。然后遵照CISQ軟件行業標準，分析這些元模型的程序、數據調用關系，從而摸清所有程序的動作關系，從而分析出整個軟件的程序邏輯架構。然后在根據分析出的架構、交易流程、交易方式，通過CISQ、OMG以及CWE等軟件和安全行業標準，對軟件進行判斷分析。分析結果出來之后，根據所發現的結構化問題、安全性問題，轉化成一個數據化的健康度的分數，分門別類的進行打分度量。由此實現通過給代碼打分而不是利用行代碼數對軟件進行評估的目的。

以一個銀行系統源代碼舉例：

上面圖片是CAST所分析出的系統源代碼執行路徑，可以看到紅線的輸入數據，從用戶輸入到交易去訪問更新數據庫在整個路徑上未進行數據檢查，就直接對數據層的信息進行更改或調用。這里就存在著很大的信息安全風險，因為無法判定是否有非法安全信息從這條路徑對數據庫進行侵入。

不知這個回答是否滿意？

來自科技行者團隊老董