通常の外部からの診断だけでは発見が難しい脆弱性も、ソースコードを直接診断することで洗い出すことが可能です。
例えば、適切な乱数生成を行っているか、正しく例外処理が実装されているかといった、内部ロジックに起因する問題やリスクを発見することができます。
Webアプリケーションの動作ではなく、ソースコードそのものを調査し、構造的な欠陥の有無を診断するため、外部からの診断チェックでは発見することができないセキュリティの脆弱性を洗いだすことができます。
さらに、実際の動作環境に対して検査を行う一般的な動的診断と異なり、ソースコードさえあれば診断が可能なため、診断用の検証環境の構築や通信経路の確保といった追加作業が不要となり、簡単に診断を行うことができます。