1 - Segurança é coisa séria, então, trate-a como tal!
Como forma de defesa muitas empresas estão se propondo a desenvolver seus próprios aplicativos, com um código menos falho, ao invés de tentarem prover uma forma de segurança para seus aplicativos já existentes, cuja maioria possui código fechado.
Utilizar-se de tecnologia de rastreamento de aplicativos Web, como o AppScanner, da IBM, ou o WebInspect, da HP, seja para garantir qualidade ou revisar processos. As empresas que compram os aplicativos Web ao invés de criá-los em casa precisam revisar esses aplicativos ou exigir que os fornecedores executem avaliação de segurança verificada por terceiros.