源代码评审

方式： 人工分析+自动化检查工具
自动化工具是一个宝贵的资源,它能够减少长时间对着代码行阅读而带来的繁重任务，但是自动化工具只能识别出可能的漏洞或可疑的代码片段。检测出的问题是否有效,仍然需要人工分析。

对源代码来说，你看到的东西并不一定是实际执行的东西。软件构建过程在从源代码到汇编代码的转换中可能会发生很大的改变。不能说一种测试方法就一定比另一种测试方法更好。

• 源代码分析工具
  编译时检查器、源代码浏览器或自动源代码审核工具

优缺点

• 优点
  覆盖能力： 白盒测试能够获得所有源代码，代码评审允许完全的覆盖。
• 缺点
  复杂性： 源代码分析工具是不完善的,有可能报告出伪问题。结果必须经过有经验的程序员的评审，工具所产生的报告可能相当冗长并且需要大量的时间阅读。
  可用性：不能访问源代码，白盒测试则根本不能作为一个测试选项。