尽管开发人员应该在产品的整个生命周期中都关心代码安全性，3但是他们应该特别关注三个关键阶段：1

实现。在编码过程中，软件开发人员必须使用特定应用领域内避免关键漏洞的最佳实践。这种实践的例子包括输入和输出校验、识别恶意字符以及使用参数化的命令。4 尽管这些技术在避免大多数安全漏洞方面很有效，但因为缺乏安全相关的知识，开发人员通常并不使用它们或者使用得不正确。边栏“为什么开发人员不使用安全编码实践？”更详细地讨论了这个问题。

测试。有很多技术可以在测试阶段使用，包括渗透测试（目前最流行的技术）、静态分析、动态分析以及运行时的异常检测。4 问题在于开发人员通常会关注需求功能的测试而忽略安全方面。另外，现有的自动化工具要么在漏洞探测覆盖度方面比较差要么产生太多的误报。

部署。在运行时环境中，会有不同的攻击探测机制。这些机制可以按照不同的级别运行并使用不同的探测方式。它们的使用障碍在于性能开销以及不准确的结果会打乱系统的正常行为。

开发安全的代码

为了编写没有漏洞的安全代码，4 基于Web基础设施的关键业务开发人员就要遵循编码实践，这个实践包括了深度防御的措施，它假设所有的安全性预防措施都会失败。在实现阶段依赖多层的安全机制是特别重要的，使用一个预防或保护措施来避免安全漏洞是不够的。