Ручной аудит и пентесты дают глубину проверки, ловят сложные баги, которые сканеры пропускают. Но они медленные и дорогостоящие. Автоматические сканеры быстрые, подходят для частых проверок, но могут выдавать много ложных срабатываний. Баг-баунти — реально помогает собрать разные взгляды со стороны, но контролировать поток и качество отчетов сложно. В общем, комбинировать стоит, чтобы покрыть разные углы.