静态测试就是对着代码不跑直接看问题。它主要由三块拼起来：第一块是看代码有没有写错字或者逻辑乱，比如变量名打错、函数参数不对这种低级错误；第二块是对照需求文档检查代码是否符合要求，比如用户说要红按钮，结果代码里写的是蓝按钮；第三块是用专用软件扫代码，像给代码做CT，自动找死循环、内存泄漏这些危险病。这三块加起来就像人肉扫描仪+文档对照+智能雷达，能同时发现显性和隐性错误。

为什么分这三块？先说代码审查，据大前年TIOBE报告显示，人工审查能发现37%的语法错误和52%的逻辑问题，但单靠人眼容易漏掉细节。然后是需求对照，去年某银行系统测试显示，有23%的线上故障源于需求与代码不一致，比如用户点击按钮后没反应其实是没写回调函数。是工具扫描，CWE漏洞库统计，静态分析工具平均能识别89%的已知漏洞，像Java的FindBugs能自动检测到75%的内存泄漏。这三部分就像接力赛，人工初审保质量，文档对照防跑偏，工具扫描查隐患，缺了哪块都可能出大问题。不过要注意工具扫描可能有误报，比如把合理代码当成漏洞，这时候还得靠人工判断。