我们必须把应用程序的安全性整合到软件开发的过程中。之后在测试中才关注安全性是不够的，因为对于修改错误来说，那太迟了，而且非常昂贵。
    每次Sprint（Every-Sprint）：这些是高优先级和重要的安全性需求，我们可以使用像威胁建模之类的技术来识别它们。 一次（One-time）：这类需求包括架构和策略上的需求，像决定编译器的版本或者设置缺陷跟踪数据库等等。 大量（Bucket）：这类需求包括长期运行或者可以暂缓的需求。比方说文件或者ActiveX fuzzing。
　　安全设计原则，像黑名单和白名单、内存级别和主机级别上的保护、安全的互操作性、最小权限原则以及区域分割等。
关于安全编码技术，现在已经有多种安全缺陷的分类列表，像OWASP Top 10、七种致命错误、常见弱点列表、Sans Top 25以及常见易受攻击点评分系统等等，各个组织可以使用它们来管理应用程序中的安全弱点。Jacob对其中的一些弱点给出了示例，像跨站点脚本攻击、跨站点伪造请求、HTTP响应分割、会话固定攻击以及SQL注入攻击等等。
    各种不同的安全测试方法，像静态、动态、手动的测试以及其中的细节，另外还有各种方式的强度和局限性。