文献中的一篇论文提供了有关该主题的一些部分数据[1]。

该论文使用两种方法分析了 9 个 Web 应用程序：（1）黑盒渗透测试，以及（2）专家的手动代码审查。它比较了每个人发现了多少漏洞。

该分析总共发现了 91 个漏洞。其中 39 个（43%）是通过黑盒渗透测试发现的。其中 71 个 (78%) 是通过手动代码审查找到的。没有办法知道这两种技术都没有发现的漏洞还有多少。

因此，一个可能的结论是，平均而言，黑盒渗透测试在 Web 应用程序中发现的所有漏洞中不到一半。

另一个结论是，这两种方法的结合似乎比单独一种方法要好；他们每个人都检测到彼此遗漏的一些漏洞。在上面提到的论文中，仅靠这两种方法都不足以检测到所有漏洞：人工审查发现了 52 个漏洞 (57%) 未被黑盒渗透测试检测到，黑盒渗透测试发现 20 个漏洞 (22%) 未被检测到通过手动代码审查检测到。

然而，这篇论文有许多局限性。它只查看 9 个 Web 应用程序。很难知道这些是否代表了所有的 Web 应用程序。手动代码审查仅由一名审查员执行。黑盒渗透测试仅由一名测试人员执行，并且仅使用一种工具。目前尚不清楚这些方法的有效性是否会因人而异，或者因渗透测试工具而异。因此，这个数据只是初步的一瞥，不能作为最终的答案。

[1] 马修·菲尼夫特，大卫·瓦格纳。 探索 Web 应用程序开发工具与安全性之间的关系。网络应用 2011。

这个问题很难解决，除非出现停机问题。

我想你可以说与其他技术相比百分比更小或更大，但通常不会是相同的、零或全部（尤其是在相同的时间范围内不同的眼睛）。

为清晰起见更新：

一个更好的问题应该是，“当应用程序笔测试与源代码帮助和商业 SAST/IAST 相结合时，发现的漏洞比单纯的 DAST 黑盒要多多少？”