白盒技术门槛低，但是缺点是开发部门认为你是阻碍上线。
无论是传统的代码扫描、渗透测试，还是近期比较火的IAST。
测试区测试最大的难处就是开发部门配合的事项，
需要搭建一个和生产环境一模一样的测试环境。
人家根本不带搭理你，协调成本占了2/3的时间。

黑盒主要风险是合规问题，这个有途径解决。虽然没白盒发现的问题全和深，黑盒优点是拿来就能用，发现的都是生产上的问题，企业重视程度会高一些。


【 在 slowaction 的大作中提到: 】
: 从外部做黑盒扫描限制太多了
: 别人做一个白盒的方案就碾压了
: 白盒的方案成本低技术成熟
: ...................
--
FROM 101.40.204.*