SANS代表がWebアプリが攻撃を受けないためには、実装段階で脆弱性を排除すべきだと言っています。

「自社で用意したWebサイトやアプリケーションが攻撃されないためには、実装段階で脆弱性を排除すべきだろう」――このほど来日した米SANS Instituteのアラン・パーラー代表は、急増する企業のWebサイトや特定アプリケーションの脆弱性を狙った攻撃に対処策として、開発初期からセキュリティを強く意識していくことの重要性を呼びかけた。

Webサイトやカスタムアプリの脆弱性を見つけるには - ITmedia エンタープライズ

任意に抽出したWebサイトのうち86％にクロスサイトスクリプティングが存在したそうです。

お高いでしょうが、Secure Defaultな企業にお願いしちゃうってのも一つの手か・・・

「例えばインドの開発受託大手のTata Consultancy Serviciesは、コンサルタント自身がSecure Programing Consortiumで安全なプログラミング技術を習得し、認定を受けている。開発品質を顧客に証明するのが狙いだ」（パーラー氏）。ドイツのSiemensもこうした活動へ熱心だという。

Webサイトやカスタムアプリの脆弱性を見つけるには - ITmedia エンタープライズ