Kui ründaja laeb pahatahtliku paketi avalikku hoidlasse sama nimega, mis on kasutusel privaatses hoidlas, võib arendussüsteem ekslikult kasutada pahatahtlikku paketti (repo confusion).

Privaatsetes hoidlates olevad paketid on sageli vananenud versioonidega.

Avalikes hoidlates olevatel pakettidel puuduvad tavaliselt digitaalallkirjad.

Avalikud hoidlad nõuavad alati tasulist ligipääsu.

Rakendada minimaalõiguste printsiipi ja vaikimisi keelata juurdepääs; kontrollida volitusi iga funktsiooni väljakutsel.

Lubada vaikimisi juurdepääs kõigile autenditud kasutajatele.

Peita tundlikud URL-id, et tavakasutajad neid ei leiaks.

Kontrollida kasutaja volitusi ainult rakendusse sisenemisel.

Ebapiisav entroopia muudab genereeritud väärtused (nt võtmed, tokenid) ettearvatavaks, mis võimaldab ründajatel neid ära arvata või jõuga murda.

Suurem entroopia tagab kiirema krüpteerimis- ja dekrüpteerimisprotsessi.

Entroopia mõõdab ainult genereeritud väärtuse pikkust bittides.

Ainult suure entroopiaga võtmeid saab kasutada asümmeetrilises krüptograafias.

Struktureeritud, loetav ja testitud kood sisaldab vähem loogikavigu ja turvanõrkusi ning seda on lihtsam turvaliselt hooldada.

Hea koodi kvaliteet tähendab vähem kommentaare, mis peidavad vigu.

Kvaliteetsem kood töötab alati kiiremini, mis vähendab DoS rünnete mõju.

Koodi kvaliteet on oluline ainult suurte projektide puhul.

Vältides tundliku info logimist või kasutajale kuvamist produktsioonikeskkonnas ning filtreerides/maskeerides andmeid vajadusel.

Krüpteerides logifailid kettal.

Logikirjutamine kogu rakendusserveris välja lülitada.

Kasutades logide roteerimist ja automaatset kustutamist.

Piirates ligipääsu logifailidele ainult administraatoritele.

Väljundi korrektne kodeerimine vastavalt kontekstile (HTML, JavaScript, URL).

Sisendi valideerimine ja ohutustamine (nt HTML erimärkide asendamine).

Content Security Policy (CSP) päise kasutamine.

SQL päringute parameetriseerimine.

Need keeled aitavad automaatselt vältida levinud mäluhaldusvigu nagu puhvri ületäitumine (buffer overflow), piiridest väljas lugemine/kirjutamine ja järelekasutusvead (use-after-free).

Need keeled takistavad SQL-süsteid automaatselt.

Nende keelte lähtekood on alati avatud ja seega paremini kontrollitav.

Need keeled on alati kiiremad kui C või C++.

kaitsmisel ei loodeta ainult ühele funktsioonile

ühe kaitsekihi rikke korral teises kihis olev kaitse aitab leevendada potensiaalset kahju

süsteem ehitatakse modulaarselt

lisame paroolile kolmekordse soolamise

et sisendit tõlgendataks kasutaja brauseris javascript koodina

et sisendit tõlgendataks käivitatava koodina

et sisendit tõlgendataks süsteemis andmebaasi päringu osana

et sisendit tõlgendataks süsteemis käsuna

et sisendit tõlgendataks failiteena

et sisendit tõlgendataks kasutaja brauseris css stiilina

Risk: Rakendus muutub aeglaseks. Vähendamine: Koodi optimeerimine.

Risk: Andmebaas täitub liigse infoga. Vähendamine: Logimise piiramine.

Risk: Võimaldab erinevaid ründeid (XSS, SQLi, jne). Vähendamine: Rakendades ranget sisendi valideerimist (tüüp, formaat, pikkus, lubatud väärtused) enne selle kasutamist.

Risk: Kasutajaliides muutub segaseks. Vähendamine: Kasutajaliidese disaini parandamine.