下面是软件开发商承诺容易的三大误区：

错误 1：项目进行最后才匆忙上安全计划
公司在开发过程开始时必须有安全计划。 这种前瞻性允许开发人员采用安全的体系结构和设计方法，并使其更容易确保整体代码安全。 一个好的安全计划对于今天的软件用户来说尤其重要，他们期望开发人员为他们提供安全的产品。

当您延迟了一个项目的一个子系统的安全性时，您以后将不得不重新工作并重新测试整个系统的很大一部分。当然你可以像日志一样延迟代码库的实现，但是如果你因为系统访问控制复杂且昂贵而拒绝实现，你就忽略了或者低估了重要的项目需求。

错误2：未能充分利用安全软件开发工具和专业知识
公司进行企业要能经受得住在软件中采用学生自己的安全管理方法的引诱。尤其是在身份验证分析模型、加密和其他一些复杂系统功能设计方面。没必要重新发明轮子。开发工作人员只要利用好别人经过验证的安全代码和过程就好。时间中国已经证明了这些可以解决这个方案是切实有效的，换句话说就是，这些前人的经验能够提供帮助开发技术人员增加对自身建设项目质量安全的自信。

静态代码分析，渗透测试，在今天的世界上有这么多的资源可用，我们没有任何借口，找出它不是在产品发布前的安全局势。此外，还有很多OWASP，SAFECode，BSIMM公司，可以帮助您了解如何创建一个安全的程序。

错误3：使用带缺陷的库组件，继承了其他企业开发者的安全管理漏洞
开发团队需要确保所使用的每个库以及从其他来源引入的代码的来源都是清楚的。 还需要识别产品使用的任何第三方代码中使用的安全验证、威胁模型和其他安全保障。

从安全性和缺陷暴露的角度来看，引入第三方库和框架是一个非常危险的操作。外包开发并不能免除您对所使用的代码进行尽职审查和测试的责任。这方面的一个很好的例子是最近公开的 Java RMI (rmi)反序列化和 apache commons collections library cwe-502问题，似乎不管是否调用库，将库包含在类路径中本身就是一个问题。

结论
“模糊安全”不能容忍的。一些开发商要么实现安全隐患，或认为是非常复杂的实现，使产品更安全。事实上，基于该方法已被证明有效的安全的基础上，可以能够通过同行评议来实现的，同行评议的良好的安全软件，以提高分娩前的安全漏洞检测率和解决率的基石。
然而，不幸的是，很多企业软件进行开发管理团队依然试图在开发末端才解决信息安全教育问题。这样是不行的。
为了产生预期的效果，安全性必须通过产品部署使用集成到整个开发过程，从最初的项目规划。
任何企业在产品预定发布时间前夕经历过数据进行泄露，或收到出人意料的渗透测试分析结果不同的人，都相当清楚在开发周期末尾添加安全的痛苦。今天，由于物联网技术设备和无处不在的计算教学环境，开发管理人员能够理解社会问题和在实际经济环境中应用系统安全教育措施的压力日渐增大。将安全贯彻始终似乎是一项具有巨大的投入，但第一部分时间就做对的花费，绝对比发现问题已经出现后再补救的代价要小得多。