源代码漏洞扫描，是一种通过扫描应用程序的源代码以发现漏洞的方法。这种技术可以帮助开发人员在开发过程中及时检测和修复漏洞，从而提高软件的性和性。

源代码漏洞扫描能够及早发现潜在的漏洞。源代码是构建应用程序的基础，而攻击者通常会针对源代码中的漏洞进行攻击。通过对源代码进行扫描，可以出其中存在的漏洞，并提供修复建议。这样，企业就能够在应用程序上线之前及时解决漏洞问题，避免被利用造成的数据泄露、系统崩溃等事件。

作为一家有CMA检测资质的立的三方软件检测机构，腾创实验室可以对未经编译的软件源代码进行代码扫描分析，快速识别漏洞及发现合规方面存在的问题，并向企业方指出漏洞的位置和分析修复方法。由于是对未经编译的代码进行扫描，因此不需要去处理复杂的代码编译所需要的环境及构建问题。帮助企业节省大量的人力和时间成本，提高开发效率，并且能够发现很多靠人力无法发现的漏洞，站在对手的角度上去审查程序员的代码，找出潜在的风险，从内对软件进行检测，提高代码的性，大大降低项目中的风险，提高软件质量，可快速、准确地查找，定位和修复软代码中存在的风险。

常见的源代码漏洞扫描工具：

一、Nessus

Nessus号称是世界上的漏洞扫描程序，全世界有过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务，并随时新其漏洞数据库。Nessus不同于传统的漏洞扫描软件，Nessus可同时在本机或远端上遥控，进行系统的漏洞分析扫描。Nessus也是渗透测试重要工具之一。

二、AWVS

Acunetix Web Vulnerability Scanner（简称AWVS）是一款的网络漏洞扫描工具，它通过网络爬虫测试你的网站，检测流行漏洞。

三、ZAP

OWASP Zed攻击代理（ZAP）是世界上的审计工具之一，由数百名志愿者积维护，它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的漏洞，它的主要功能有：本地代理、主动扫描、被动扫描、Fuzzy和破解等。

四、w3af

w3af是一个Web应用程序攻击和检查框架，该项目已过130个插件，其中包括检查网站爬虫、SQL注入(SQL Injection)、跨站(XSS)、本地文件包含(LFI)、远程文件包含(RFI)等，该项目的目标是要建立一个框架，以寻找和开发Web应用漏洞，所以很使用和扩展。

五、北熊

北熊是一款综合性的扫描工具。

六、御剑

御剑后台扫描珍藏版是T00LS大牛的作品,方便查找用户后台登陆地址，附带很强大的字典，字典也是可以自己修改的，使用方法也非常简单，只需要在“域名框”输入你要扫描的域名即可，用户可根据自身电脑的配置来设置调节扫描线程，集合DIR扫描、ASP、ASPX、PHP、JSP、MDB数据库，包含所有网站脚本路径扫描，默认探测200 (也就是扫描的网站真实存在的路径文件)。