通过对源代码进行审查，找出并修复代码中的各种可能影响系统安全的潜在风险，通过提高代码的自身质量，达到降低系统风险的目的。往往由于代码量大，代码安全审计一般会借助静态分析类工具，对代码进行自动检测，产生代码安全审计报告。

参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。

在用户授权下对特定的信息系统进行全面安全检测和测试，采用非破坏性的黑客攻击方法，发现系统安全风险。