当然自动检查是不够的，并且相信永远不会。好吧，直到制造出一些人工智能。例如 fuzzer - 它们只能涵盖因苛刻输入而失败的检查。逻辑错误将被遗漏。当谈论真正严重的错误和需要满足多个条件的漏洞时，源代码分析显示出良好的结果。对于没有经验的人来说，二进制分析可能会令人生畏，但可以检查封闭的源代码应用程序，此外，它还考虑了在源代码分析期间无法诊断的编译器规范。因此，每种方法都有其优势，不应单独使用。

仅依靠自动漏洞扫描来审查大多数应用程序的安全性是远远不够的。

为什么？因为自动化工具会遗漏漏洞（II 型错误/漏报）。

这个问题的更丑陋的含义是应用程序的安全性很重要，但在开发过程中却被忽略了。

应用程序不能被认证为安全，就像车辆不能被认证为安全驾驶一样。您的机械师可能会给您一份他或她检查过的东西的清单，甚至可能被证实是安全的。然而，这并不意味着一旦你的车上路或赛道就不会出问题。

只有试图欺骗您的机械师才会提供全自动安全检查。认为在接下来的 50 年中可以考虑任何应用程序完全安全或安全，即使是人工智能，这将是疯狂的。即使是具有正式规范的正式方法也会失败。

我建议您在确定结果之前适当地确定应用程序的独特情况。

够用什么？

足以抵御蠕虫等其他纯自动化攻击吗？大概。

是否足以抵御熟练攻击者的针对性攻击？当然不是。

一个更好的问题是“自动扫描是否将风险降低到我的应用程序可接受的水平？” 答案当然是，这取决于...

打个比方，你不会问这样的问题，“去看我的全科医生就够了吗？” 没有“我需要每年检查一次”或“我刚刚用电锯锯掉了一半的躯干”的上下文。

自动扫描对于其自己域上的低关键性小册子网站可能就足够了，但对于银行应用程序绝对不够。大多数网站都在中间的某个地方，所以......这取决于;-)