8.3 Auditoria Interna
Atualmente, somente a ferramenta tiger utilizada no Debian pode ser usada para executar auditorias internas de hosts (também chamadas de "caixa branca") de fato para determinar se o sistema de arquivos está corretamente configurado, que processos estão rodando no hosts, etc..
8.4 Auditoria de código fonte
Debian fornce três pacotes que podem ser utilizados para auditar códigos fontes em C/C++ e encontrar erros de programação que podem conduzir para potenciais falhas de segurança:
flawfinder
rats
splint
fonte: https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-tools.pt-br.html
Complementando a ótima resposta do Gustavo:
Flawfinder
O Flawfinder4 é uma ferramenta de análise de padrões, desenvolvida por David Wheeler na linguagem de programação Python. A ferramenta suporta código nas linguagens C e C++. A ferramenta à medida que pesquisa o código fonte, guarda informação sobre as possíveis vulnerabilidades para depois reportar, com uma descrição do problema e solução, assim como a severidade e o tipo de vulnerabilidade. As vulnerabilidades reportadas encontram-se sempre ordenadas pelo grau de severidade.
Das diversas ferramentas, o Flawfinder é aquela que detalha melhor o problema de cada vulnerabilidade, possibilitando a diminuição do número de falsos positivos apresentados através da inserção de comentários no código.
Fonte: http://www.di.fc.ul.pt/~nuno/THESIS/EmanuelTeixeira_master07.pdf