可以执行手动渗透测试并验证所有ASVS 1级问题,而不需要访问源代码,但这不是主要的做法。ASVS 2级验证至少需要访问开发人员、文档、代码和对系统进行身份验证的访问。由于大部分额外的问题涉及系统配置、恶意代码审查、威胁建模和其他非渗透测试伪装的检查,因此,无法完成ASVS 3级的完整渗透测试。
