MASTG-TECH-0025: 自动化静态分析

您应该使用工具进行有效的静态分析。它们允许测试人员专注于更复杂的业务逻辑。有大量可用的静态代码分析器，范围从开源扫描器到完全成熟的企业级扫描器。最好的工具取决于预算、客户要求和测试人员的偏好。

一些静态分析器依赖于源代码的可用性；其他一些则将编译后的 APK 作为输入。请记住，即使静态分析器可以帮助我们关注潜在的问题，它们也可能无法自行找到所有问题。仔细审查每个发现，并尝试了解应用程序正在做什么，以提高您发现漏洞的机会。

正确配置静态分析器以减少误报的可能性，并且可能只选择扫描中的几个漏洞类别。否则，静态分析器生成的结果可能会让人不知所措，如果您必须手动调查一份大型报告，那么您的努力可能会适得其反。