探测漏洞

识别安全的问题要求不仅测试应用程序的功能还要寻找代码中可能被黑客利用的隐藏的危险缺陷。5探测漏洞的两个主要方式是白盒分析和黑盒测试。

白盒分析

白盒分析需要在不执行的情况下检查代码。开发人员可以按照以下两种方式中的某一种来进行：在代码的审查或评审时以手动方式进行或者借助自动分析工具自动化进行。

代码审查（Code inspection）指的是程序员的同伴系统检查交付的代码，查找编码错误。6安全审查是减少应用程序中漏洞最有效的方式；当为关键的系统开发软件时，这是重要的过程。但是，这种审查方式通常是很费时间的、代价昂贵并需要深入了解Web的安全知识。

代码检查（Code review）是代价稍为低廉的替代方案，6它是一种简化版本的代码审查适用于分析不像前面那么重要的代码。检查也是手动进行的，但是它不需要正式的审查会议。几个专家分别进行检查，然后由主持人过滤和合并结果。尽管这是一个有效的方式，但代码检查的成本依旧是很高的。