本文研究了代码风格对静态应用安全测试（SAST）工具发现漏洞能力的影响。尽管SAST工具存在许多已知局限性，但代码模式如何影响其分析能力此前鲜有探讨。作者通过实验，使用多种商业和开源安全扫描器，编译了超过270种不同的代码模式，这些模式会阻碍现有工具对PHP和JavaScript代码的分析。这些模式包括控制流混淆、数据流复杂化、反射使用等常见编码习惯。作者提出，在软件开发生命周期中检测这些模式的存在，可以向开发者提供关于其代码可测试性的重要反馈。这有助于开发者更好地评估残留风险，即使SAST工具报告无发现，代码中仍可能隐藏漏洞。此外，该方法还可指出替代的代码转换方式，以提升代码对SAST的可测试性。实验结果表明，这些模式显著降低了工具的检测覆盖率，且不同类型模式的影响各异。本文的贡献在于系统性地分类和量化了代码模式对安全测试的影响，为改进SAST工具和开发安全编码实践提供了实证基础。适合安全研究员、SAST工具开发者及关注DevSecOps的团队阅读。