Đánh giá mã nguồn là quy trình kiểm định mã nguồn của một ứng dụng để kiểm tra xem hệ thống kiểm soát bảo mật có được triển khai hợp lý không, có hoạt động đúng mục đích, và có được gọi ra đúng vị trí hay không. Mục đích của việc đánh giá mã nguồn là để đảm bảo tính tự vệ của ứng dụng trong môi trường hoạt động của ứng dụng đó.
Đánh giá mã nguồn giúp đảm bảo các nhà phát triển ứng dụng an toàn tuân theo những kỹ thuật phát triển an toàn. Thông thường, bất kỳ lỗ hổng bổ sung nào từ ứng dụng liên quan đến mã nguồn đã phát triển không nên được phát hiện trong một cuộc kiểm thử xâm nhập sau khi ứng dụng đã trải qua đánh giá mã nguồn hợp lý.
Trong một cuộc đánh giá mã nguồn, cần sử dụng kết hợp công sức của con người và sự hỗ trợ của công nghệ. Bắt buộc phải có trình độ chuyên môn để sử dụng các công cụ bảo mật ứng dụng hiện nay một cách hiệu quả. Công cụ có thể được sử dụng để đánh giá mã nguồn, nhưng chúng luôn cần con người kiểm chứng lại. Con người hiểu bối cảnh trong khi công cụ không hiểu. Có thể quét tự động một lượng lớn mã nguồn bằng công cụ, và có thể phát hiện ra những vấn đề khả dĩ, nhưng cần con người kiểm chứng từng kết quả một để xác định xem đó có phải là vấn đề thực sự hay không, vấn đề đó có thể bị khai thác không, và tính toán rủi ro cho công ty.
Ngoài ra cũng có những điểm mù quan trọng nơi mà các công cụ tự động hoàn toàn không thể kiểm tra và vai trò của các chuyên gia đánh giá là rất cần thiết.
